2 Problemas con el certificado

OpenSSL se usa con CRL y para algunas CA en la cadena de certificados su CRL no está incluida en TLSCRLFile

En el registro del servidor TLS en el caso de un par OpenSSL:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo s3_srvr.c línea 3251: error: 14089086: rutinas SSL: ssl3_get_client_certificate: verificación de certificado fallida: \
           TLS escribe alerta fatal "CA desconocida"

En el registro del servidor TLS en el caso de un par GnuTLS:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo rsa_pk1.c línea 103: error:0407006A: rutinas rsa:RSA_padding_check_PKCS1_type_1:\
           el tipo de bloque no es el archivo 01 rsa_eay.c línea 705: error:04067072: rutinas rsa:RSA_EAY_PUBLIC_DECRYPT:paddin

CRL expiró o vence durante la operación del servidor

OpenSSL, en el registro del servidor:

  • antes del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           Rutinas SSL:ssl3_get_server_certificate:verificación del certificado fallida:\
           TLS escribe alerta fatal "certificado revocado"
  • después del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           Rutinas SSL:ssl3_get_server_certificate:verificación del certificado fallida:\
           TLS escribe alerta fatal "certificado caducado"

Lo importante aquí es que con CRL válida se informa un certificado revocado como "certificado revocado". Cuando la CRL caduca, el mensaje de error cambia a "certificado caducado", lo cual es bastante engañoso.

GnuTLS, en el registro del servidor:

  • antes y después del vencimiento lo mismo:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
             Certificado de igual no válido: el certificado NO es de confianza. Se revoca la cadena de certificados.

Certificado autofirmado, CA desconocida

OpenSSL, en el registro:

error: 'certificado autofirmado: SSL_connect() establece el código de resultado en SSL_ERROR_SSL: archivo ../ssl/statem/statem_clnt.c\
             línea 1924: error: 1416F086: rutinas SSL: tls_process_server_certificate: verificación de certificado fallida:\
             TLS escribe alerta fatal "CA desconocida"

Esto se observó cuando el certificado del servidor por error tenía el mismo emisor. y cadena de asunto, aunque estaba firmada por CA. Emisor y Sujeto son iguales en el certificado de CA de nivel superior, pero no pueden ser iguales en el certificado del servidor. (Lo mismo se aplica a los certificados de proxy y agente).

Para comprobar si un certificado contiene las mismas entradas de Emisor y Asunto, ejecute:

openssl x509 -in <sucertificado.crt> -noout -text

Es aceptable que el certificado raíz (nivel superior) tenga valores idénticos para Emisor y Asunto.