Informacje o zgłoszeniu
-
#006464
-
Zrealizowano
-
3.0.0.51
-
3.0.0.65
-
5 - krytyczna
Potwierdzenia zgłoszenia
-
Tak (4)Nie (0)
Kiedy łączymy się z serwerem XMPP, który posiada prawidłowy certyfikat tj. klucz prytwatny + certyfikat domeny + certyfikat pośredni to AQQ informuje, że wystąpił błąd w weryfikacji certyfikatu co nie powinno mieć w ogóle miejsca! Nie ma potrzebny dodawania do pliku z certyfikatem serwera XMPP informacji o Root CA, inne komunikatory sobie z tym znakomicie radzą już nie wspominając o przeglądarkach WWW. Problem można obecnie zaobserować na serwerze jabber.at.
Ten błąd należy usunąć przed wydaniem stabilki!
Jeżeli chodzi o serwer FB to sprawdzałem na czystym profilu i problemu nie ma. Z resztą niestety brakuje mi wiedzy w tym temacie aby nawet stwierdzić co jest tutaj nie tak. Poza tym podejrzewam, że bez ingerencji w komponenty Indy nie da się tego poprawić - AQQ sprawdza bowiem poprawność certyfikatu na zdarzeniu OnVerify które otrzymuje od komponentów Indy. Zgłosenie muszę wstrzymać.
jak właściwie weryfikuje certyfikat w tym OnVerify?
i tak mnie ciekawi czy przypadkiem nie używa funkcji wbudowanych w openssl/indy - one nie zadziałają na windowsie.
Robisz to źle i tyle. Te zgłoszenie nie możę być wstrzymane i czekać kilka lat na rozwiązanie. To problem krytyczny, która pozwala dokonać ataku na użytkowniku.
Jako administrator serwera XMPP nalegam o naprawienie tego błędu. Póki co problem obchodzę dodając certyfikat Root CA po stronie serwera ale nie mogę tego dalej robić z uwagi na niezgodność ze standardami. Przez to, w niektórych przypadkach, mogą wyniknąć problemy z prawidłowym szyfrowaniem połączenia.
Temat stoi więc trochę sam poszperałem i...
1. W komponencie Indy (TIdServerIOHandlerSSLOpenSSL/TIdSSLIOHandlerSocketOpenSSL) jest możliwość ustalenia ścieżki do RootCertFile.
2. Certyfikat Root można pobrać bez żadnego problemu, wszystkie informacje odnośnie kto wystawił certyfikat są podane w dwóch innych certyfikatach (certyfikat domeny + certyfikat serwera).
Użytkownik Beherit edytował ten post 2015.03.22, 18:04
Dla leniwych:
http://embarcadero.n...1104245816.html
https://stackoverflo...ion-not-working
https://stackoverflo...seen-as-trusted
Nie musisz dziękować.
Użytkownicy przeglądający to zgłoszenie: 0
0 użytkowników, 0 gości, 0 anonimowych