Skocz do zawartości


Informacje o zgłoszeniu

Potwierdzenia zgłoszenia

  • Tak (4)Nie (0)
Zdjęcie

Połączenie z serwerem bez certyfikatu Root CA

Napisane przez Beherit w 2014.07.03, 19:17

Kiedy łączymy się z serwerem XMPP, który posiada prawidłowy certyfikat tj. klucz prytwatny + certyfikat domeny + certyfikat pośredni to AQQ informuje, że wystąpił błąd w weryfikacji certyfikatu co nie powinno mieć w ogóle miejsca! Nie ma potrzebny dodawania do pliku z certyfikatem serwera XMPP informacji o Root CA, inne komunikatory sobie z tym znakomicie radzą już nie wspominając o przeglądarkach WWW. Problem można obecnie zaobserować na serwerze jabber.at.



mateusz310

2014.10.01, 17:00

Od siebie też coś dodam :)

AQQ 3.0.0.21

Załączone miniatury

  • certyfikat.JPG

Użytkownik mateusz310 edytował ten post 2014.10.01, 19:10


Ten błąd należy usunąć przed wydaniem stabilki!



Oconnel usuń wreszcie ten błąd!

zmienił status na: Wstrzymano

Jeżeli chodzi o serwer FB to sprawdzałem na czystym profilu i problemu nie ma. Z resztą niestety brakuje mi wiedzy w tym temacie aby nawet stwierdzić co jest tutaj nie tak. Poza tym podejrzewam, że bez ingerencji w komponenty Indy nie da się tego poprawić - AQQ sprawdza bowiem poprawność certyfikatu na zdarzeniu OnVerify które otrzymuje od komponentów Indy. Zgłosenie muszę wstrzymać.



zmienił status na: Zatwierdzono
zmienił wersja na: 3.0.0.51

 

jak właściwie weryfikuje certyfikat w tym OnVerify?

 

i tak mnie ciekawi czy przypadkiem nie używa funkcji wbudowanych w openssl/indy - one nie zadziałają na windowsie.

 

Robisz to źle i tyle. Te zgłoszenie nie możę być wstrzymane i czekać kilka lat na rozwiązanie. To problem krytyczny, która pozwala dokonać ataku na użytkowniku.



Jako administrator serwera XMPP nalegam o naprawienie tego błędu. Póki co problem obchodzę dodając certyfikat Root CA po stronie serwera ale nie mogę tego dalej robić z uwagi na niezgodność ze standardami. Przez to, w niektórych przypadkach, mogą wyniknąć problemy z prawidłowym szyfrowaniem połączenia.



Temat stoi więc trochę sam poszperałem i...

 

1. W komponencie Indy (TIdServerIOHandlerSSLOpenSSL/TIdSSLIOHandlerSocketOpenSSL) jest możliwość ustalenia ścieżki do RootCertFile.

2. Certyfikat Root można pobrać bez żadnego problemu, wszystkie informacje odnośnie kto wystawił certyfikat są podane w dwóch innych certyfikatach (certyfikat domeny + certyfikat serwera).


Użytkownik Beherit edytował ten post 2015.03.22, 18:04


zmienił naprawione w na: 3.0.0.65
zmienił status na: Zrealizowano

Poprawione, sprawdzone na priv - będzie dostępne w kolejnej becie :)





Użytkownicy przeglądający to zgłoszenie: 0

0 użytkowników, 0 gości, 0 anonimowych