To: titkarsag () nki ! gov ! hu
Date: Wed, 2 Nov 2022 10:35:58 +0100
T. NKI!
A weboldaluk RSS feed-jei ( https://nki.gov.hu/intezet/tartalom/rss-csatornak/ ) hibára futnak a validátoron, így az RSS klienseken nem frissülnek a hírek:
1) https://nki.gov.hu/figyelmeztetesek/riasztas/feed/ https://validator.w3.org/feed/check.cgi?url=1%29+https%3A%2F%2Fnki.gov.hu%2Ffigyelmeztetesek%2Friasztas%2Ffeed%2FError when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]
2) https://nki.gov.hu/figyelmeztetesek/serulekenysegek-uj/feed/
https://validator.w3.org/feed/check.cgi?url=https%3A%2F%2Fnki.gov.hu%2Ffigyelmeztetesek%2Fserulekenysegek-uj%2Ffeed%2FError when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]
3) https://nki.gov.hu/it-biztonsag/hirek/feed/ https://validator.w3.org/feed/check.cgi?url=https%3A%2F%2Fnki.gov.hu%2Fit-biztonsag%2Fhirek%2Ffeed%2FError when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]
Üdv:
-- Gabor MICSKO - http://hup.hu
[UPDATE #1]
To: titkarsag () nki ! gov ! hu
CC: hacker () nki ! gov ! hu
Date: Tue, 15 Nov 2022 12:31:48 +0100
T. NKI Titkárság!
Alábbi levelem 2 hete küldtem Önöknek, de semmilyen választ sem kaptam. Amennyiben nem Önökre tartoznak az ilyen jellegű technikai problémák, kérem továbbítsák a weboldalukat támogató csapatnak.
További infók:
Köszönettel:
-- Gabor MICSKO - http://hup.hu
[UPDATE #2]
A hiba továbbra is fennáll, válasz egyik levélre sem érkezett -> hírolvasó bejegyzések és főoldali blokkok eltávolítva.
- 576 megtekintés
Hozzászólások
Előzmény: valaki jelezte, hogy nem frissülnek a bal oldali blokkok
Fejlemény: azóta (11. 02.) nincs válasz
További validátor tesztek:
https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/i…
FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/it-biztonsag/hirek/feed/. Did not finish feed tests.
https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/f…
FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/figyelmeztetesek/riasztas/feed/. Did not finish feed tests.
https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/f…
FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/figyelmeztetesek/serulekenysegek-uj/feed/. Did not finish feed tests.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
$ curl -Iv https://nki.gov.hu
* Trying 84.206.8.14:443...
* Connected to nki.gov.hu (84.206.8.14) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (OUT), TLS header, Unknown (21):
* TLSv1.2 (OUT), TLS alert, handshake failure (552):
* error:0A000152:SSL routines::unsafe legacy renegotiation disabled
* Closing connection 0
$ openssl s_client -connect nki.gov.hu:443 -showcerts </dev/null
CONNECTED(00000005)
depth=0 C = HU, L = Budapest, O = Nemzetbiztonsági Szakszolgálat, CN = nbsz.gov.hu, serialNumber = 1.3.6.1.4.1.21528.2.3.2.3986
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = HU, L = Budapest, O = Nemzetbiztonsági Szakszolgálat, CN = nbsz.gov.hu, serialNumber = 1.3.6.1.4.1.21528.2.3.2.3986
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=HU/L=Budapest/O=Nemzetbiztonsági Szakszolgálat/CN=nbsz.gov.hu/serialNumber=1.3.6.1.4.1.21528.2.3.2.3986
i:/C=HU/L=Budapest/O=Microsec Ltd./CN=e-Szigno SSL CA 2014/emailAddress=info@e-szigno.hu- A hozzászóláshoz be kell jelentkezni
TL;DR, ha esetleg valaki nem lenne natív az openssl hibák értelmezésében:
"Kedves NKI, légyszi küldjetek certificate hintet (azaz az intermediate CA-k tanúsítványát kapcsolatfelvételkor), mert enélkül nem tudják a kliensek megbízhatóan validálni a szervert."
- A hozzászóláshoz be kell jelentkezni
Tudják szerintem. Át is akarják rakni a webszerver alá, csak még a forráskódban nem találták meg ...
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
Igen, a Microsec intermediate-Certje is hiányzik, de attól függetlenül sem OpenSSL-3 kompatibilis.
- A hozzászóláshoz be kell jelentkezni
+1
nálam is ez a panasz (OpenSSL 3):
00876DFB877F0000:error:0A000152:SSL routines:final_renegotiate:unsafe legacy renegotiation disabled:ssl/statem/extensions.c:880:Persze ha felajánlom a TLS1.0-t vagy TLS1.1-t, akkor már más:
SSL_CTX_set_min_proto_version(TLSv1.0) succeed
SSL_CTX_set_max_proto_version(TLSv1.1) succeed
SSL_CTX_set_cipher_list("ALL@SECLEVEL=0") succeed
20221115.131409.069 SSL_connect(socket=3) retuned -1
SSL_error=5: SYSCALL/ERROR
errno=104: Connection reset by peer
Google szerint ilyen mágia van a háttérben: SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION vagy SSL_OP_LEGACY_SERVER_CONNECT
https://www.openssl.org/docs/man3.0/man3/SSL_get_secure_renegotiation_s…
Szerk: az utóbbi opcióval létrejön a kapcsolat, TLS1.2
SSL_CIPHER_description: ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
- A hozzászóláshoz be kell jelentkezni
1 hónap és 3 hete változott náluk valami, azelőtt semmi probléma nem volt:
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Igen, a tanúsítvány. :)
2022. szeptember 22., csütörtök 12:44:26
- A hozzászóláshoz be kell jelentkezni
Nem érdekelnek a részletek. HUP olvasó bejelentette, más az illetékes, továbbítva az üzenet.
Ha javítják ok, ha nem, 2 hét múlva leszedem a blokkokat.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Engem csak az érdekelne miért kellett visszavonni az előzőt , amikor az 2023 közepéig jó lett volna. Ráadaásul ugyanaz a kiadó, úgyhogy egyszerűen csak a certet kellett volna cserélni és meghagyni a közteset.
- A hozzászóláshoz be kell jelentkezni
Kérdezd meg a fenti e-mail címeken. Hátha neked válaszolnak.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Köszi , de nem keresem a bajt, örülök ha békén hagynak.
- A hozzászóláshoz be kell jelentkezni
Biztos benne volt a kulcsa a Kréta leakben..
- A hozzászóláshoz be kell jelentkezni
Feltörték volna a honeypotokat is ? :(
- A hozzászóláshoz be kell jelentkezni
mennyi hekker van itt, te jó ég :)
- A hozzászóláshoz be kell jelentkezni
Qualys: "This server's certificate chain is incomplete. Grade capped to B." - Mondjam azt, hogy szégyenmozdonyt nekik...?
- A hozzászóláshoz be kell jelentkezni
engem mondjuk az is érdekelne, hogy a public suffix listben miért nincs benne a gov.hu
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
- A hozzászóláshoz be kell jelentkezni
(Itt valamelyik certificate-mezőre gondolsz?)
- A hozzászóláshoz be kell jelentkezni
nem. erre: https://publicsuffix.org/
és többek között erre használják a listát a böngészők: https://publicsuffix.org/learn/
itt kiemelném minden böngészőnél: "Restricting cookie setting". azaz most lehet gov.hu domainre cookie-t tenni. olyan, mintha a .com -ra lehetne, és azt minden .com végződésű írhatná, olvashatná
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
- A hozzászóláshoz be kell jelentkezni
Hessinnenteg:Notwörkszformí :)
- A hozzászóláshoz be kell jelentkezni
Még le sem járt a 30 napos ügyintézési határidő. :P
- A hozzászóláshoz be kell jelentkezni