2 תקלות אישורים

OpenSSL בשימוש עם CRL ועבור CA מסויים בשרשרת האישורים ה-CRL שלו אינו כלול ב-'TLSCRLFile'

ביומן שרת TLS במקרה של עמית OpenSSL:

 לא הצליח לקבל חיבור נכנס: מ-127.0.0.1: לחיצת יד של TLS עם 127.0.0.1 החזירה קוד שגיאה 1: \
            קובץ s3_srvr.c שורה 3251: error:14089086: רוטינות SSL:ssl3_get_client_certificate:certificate אימות נכשל: \
            TLS כותב התראה קטלנית "CA ידוע"

ביומן שרת TLS במקרה של עמית GnuTLS:

 לא הצליח לקבל חיבור נכנס: מ-127.0.0.1: לחיצת יד של TLS עם 127.0.0.1 החזירה קוד שגיאה 1: \
            קובץ rsa_pk1.c שורה 103: error:0407006A: rsa routines:RSA_padding_check_PKCS1_type_1:\
            סוג החסימה אינו קובץ 01 rsa_eay.c שורה 705: error:04067072: rsa routines:RSA_EAY_PUBLIC_DECRYPT:paddin

CRL פג או פג במהלך פעולת השרת

OpenSSL, ביומן השרת:

  • לפני התפוגה:
 לא יכול להתחבר ל-proxy "proxy-openssl-1.0.1e": TCP הצליח, לא יכול להקים TLS ל-[[127.0.0.1]:20004]:\
            SSL_connect() החזיר SSL_ERROR_SSL: קובץ s3_clnt.c שורה 1253: error:14090086:\
            שגרות SSL:ssl3_get_server_certificate:certificate אימות נכשל:\
            TLS כותבת התראה קטלנית "האישור בוטל"
  • לאחר התפוגה:
 לא יכול להתחבר ל-proxy "proxy-openssl-1.0.1e": TCP הצליח, לא יכול להקים TLS ל-[[127.0.0.1]:20004]:\
            SSL_connect() החזיר SSL_ERROR_SSL: קובץ s3_clnt.c שורה 1253: error:14090086:\
            שגרות SSL:ssl3_get_server_certificate:certificate אימות נכשל:\
            TLS כותב התראה קטלנית "פג תוקף האישור"

הנקודה כאן היא שעם CRL חוקי מדווח על אישור שבוטל כ"אישור מבוטל". כאשר ה-CRL יפוג הודעת השגיאה משתנה ל "פג תוקף האישור" וזה די מטעה.

GnuTLS, ביומן השרת:

  • לפני ואחרי תפוגה זהה:
 לא יכול להתחבר ל-proxy "proxy-openssl-1.0.1e": TCP הצליח, לא יכול להקים TLS ל-[[127.0.0.1]:20004]:\
              אישור עמית לא חוקי: האישור אינו מהימן. שרשרת האישורים מבוטלת.

אישור בחתימה עצמית, CA לא ידוע

OpenSSL, ביומן:

 error:'אישור חתום בעצמו: SSL_connect() הגדר את קוד התוצאה ל-SSL_ERROR_SSL: קובץ ../ssl/statem/statem_clnt.c\
              שורה 1924: error:1416F086:SSL routines:tls_process_server_certificate:certificate אימות נכשל:\
              TLS כותב התראה קטלנית "CA ידוע"'

זה נצפה כאשר לאישור השרת בטעות היה אותו מנפיק ומחרוזת נושא, למרות שהיא נחתמה על ידי CA. המנפיק והנושא הם שווים באישור CA ברמה העליונה, אבל הם לא יכולים להיות שווים בשרת תְעוּדָה. (הוא הדין לגבי אישורי מיופה כוח וסוכן.)