[Update 20221202] FATAL: SSL certificate problem: unable to get local issuer certificate

To: titkarsag () nki ! gov ! hu

Date: Wed, 2 Nov 2022 10:35:58 +0100

T. NKI!

A weboldaluk RSS feed-jei ( https://nki.gov.hu/intezet/tartalom/rss-csatornak/ ) hibára futnak a validátoron, így az RSS klienseken nem frissülnek a hírek:
1) https://nki.gov.hu/figyelmeztetesek/riasztas/feed/

https://validator.w3.org/feed/check.cgi?url=1%29+https%3A%2F%2Fnki.gov.hu%2Ffigyelmeztetesek%2Friasztas%2Ffeed%2F
Error when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]

2) https://nki.gov.hu/figyelmeztetesek/serulekenysegek-uj/feed/
https://validator.w3.org/feed/check.cgi?url=https%3A%2F%2Fnki.gov.hu%2Ffigyelmeztetesek%2Fserulekenysegek-uj%2Ffeed%2F
Error when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]
3) https://nki.gov.hu/it-biztonsag/hirek/feed/

https://validator.w3.org/feed/check.cgi?url=https%3A%2F%2Fnki.gov.hu%2Fit-biztonsag%2Fhirek%2Ffeed%2F
Error when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]

Üdv:
-- 
Gabor MICSKO - http://hup.hu

[UPDATE #1]

To: titkarsag () nki ! gov ! hu

CC: hacker () nki ! gov ! hu

Date: Tue, 15 Nov 2022 12:31:48 +0100

T. NKI Titkárság!

Alábbi levelem 2 hete küldtem Önöknek, de semmilyen választ sem kaptam. Amennyiben nem Önökre tartoznak az ilyen jellegű technikai problémák, kérem továbbítsák a weboldalukat támogató csapatnak.

További infók:

https://hup.hu/node/179963

Köszönettel:

-- 
Gabor MICSKO - http://hup.hu

[UPDATE #2]

A hiba továbbra is fennáll, válasz egyik levélre sem érkezett -> hírolvasó bejegyzések és főoldali blokkok eltávolítva.

Előzmény: valaki jelezte, hogy nem frissülnek a bal oldali blokkok

Fejlemény: azóta (11. 02.) nincs válasz

További validátor tesztek:

https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/i…

FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/it-biztonsag/hirek/feed/. Did not finish feed tests.

https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/f…

FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/figyelmeztetesek/riasztas/feed/. Did not finish feed tests.

https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/f…

FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/figyelmeztetesek/serulekenysegek-uj/feed/. Did not finish feed tests.

trey @ gépház

0 szavazat

A hozzászóláshoz be kell jelentkezni

$ curl -Iv https://nki.gov.hu
*   Trying 84.206.8.14:443...
* Connected to nki.gov.hu (84.206.8.14) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (OUT), TLS header, Unknown (21):
* TLSv1.2 (OUT), TLS alert, handshake failure (552):
* error:0A000152:SSL routines::unsafe legacy renegotiation disabled
* Closing connection 0

$ openssl s_client -connect nki.gov.hu:443 -showcerts </dev/null
CONNECTED(00000005)
depth=0 C = HU, L = Budapest, O = Nemzetbiztonsági Szakszolgálat, CN = nbsz.gov.hu, serialNumber = 1.3.6.1.4.1.21528.2.3.2.3986
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = HU, L = Budapest, O = Nemzetbiztonsági Szakszolgálat, CN = nbsz.gov.hu, serialNumber = 1.3.6.1.4.1.21528.2.3.2.3986
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=HU/L=Budapest/O=Nemzetbiztonsági Szakszolgálat/CN=nbsz.gov.hu/serialNumber=1.3.6.1.4.1.21528.2.3.2.3986
   i:/C=HU/L=Budapest/O=Microsec Ltd./CN=e-Szigno SSL CA 2014/emailAddress=info@e-szigno.hu

0 szavazat

A hozzászóláshoz be kell jelentkezni

TL;DR, ha esetleg valaki nem lenne natív az openssl hibák értelmezésében:

"Kedves NKI, légyszi küldjetek certificate hintet (azaz az intermediate CA-k tanúsítványát kapcsolatfelvételkor), mert enélkül nem tudják a kliensek megbízhatóan validálni a szervert."

0 szavazat

A hozzászóláshoz be kell jelentkezni

Tudják szerintem. Át is akarják rakni a webszerver alá, csak még a forráskódban nem találták meg ...

Fedora 37, Thinkpad x280

0 szavazat

A hozzászóláshoz be kell jelentkezni

Igen, a Microsec intermediate-Certje is hiányzik, de attól függetlenül sem OpenSSL-3 kompatibilis.

0 szavazat

A hozzászóláshoz be kell jelentkezni

+1
nálam is ez a panasz (OpenSSL 3):


00876DFB877F0000:error:0A000152:SSL routines:final_renegotiate:unsafe legacy renegotiation disabled:ssl/statem/extensions.c:880:

Persze ha felajánlom a TLS1.0-t vagy TLS1.1-t, akkor már más:


SSL_CTX_set_min_proto_version(TLSv1.0) succeed
SSL_CTX_set_max_proto_version(TLSv1.1) succeed
SSL_CTX_set_cipher_list("ALL@SECLEVEL=0") succeed
20221115.131409.069 SSL_connect(socket=3) retuned -1
                    SSL_error=5: SYSCALL/ERROR
                    errno=104: Connection reset by peer

Google szerint ilyen mágia van a háttérben: SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION vagy SSL_OP_LEGACY_SERVER_CONNECT

https://www.openssl.org/docs/man3.0/man3/SSL_get_secure_renegotiation_s…

Szerk: az utóbbi opcióval létrejön a kapcsolat, TLS1.2
SSL_CIPHER_description: ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD

0 szavazat

A hozzászóláshoz be kell jelentkezni

1 hónap és 3 hete változott náluk valami, azelőtt semmi probléma nem volt:

https://hup.hu/aggregator/sources/60

trey @ gépház

0 szavazat

A hozzászóláshoz be kell jelentkezni

Igen, a tanúsítvány. :)

2022. szeptember 22., csütörtök 12:44:26

0 szavazat

A hozzászóláshoz be kell jelentkezni

Nem érdekelnek a részletek. HUP olvasó bejelentette, más az illetékes, továbbítva az üzenet.

Ha javítják ok, ha nem, 2 hét múlva leszedem a blokkokat.

trey @ gépház

0 szavazat

A hozzászóláshoz be kell jelentkezni

Engem csak az érdekelne miért kellett visszavonni az előzőt , amikor az 2023 közepéig jó lett volna. Ráadaásul ugyanaz a kiadó, úgyhogy egyszerűen csak a certet kellett volna cserélni és meghagyni a közteset.

0 szavazat

A hozzászóláshoz be kell jelentkezni

Kérdezd meg a fenti e-mail címeken. Hátha neked válaszolnak.

trey @ gépház

0 szavazat

A hozzászóláshoz be kell jelentkezni

Köszi , de nem keresem a bajt, örülök ha békén hagynak.

0 szavazat

A hozzászóláshoz be kell jelentkezni

Biztos benne volt a kulcsa a Kréta leakben..

0 szavazat

A hozzászóláshoz be kell jelentkezni

Feltörték volna a honeypotokat is ? :(

0 szavazat

A hozzászóláshoz be kell jelentkezni

mennyi hekker van itt, te jó ég :)

0 szavazat

A hozzászóláshoz be kell jelentkezni

Qualys: "This server's certificate chain is incomplete. Grade capped to B." - Mondjam azt, hogy szégyenmozdonyt nekik...?

0 szavazat

A hozzászóláshoz be kell jelentkezni

engem mondjuk az is érdekelne, hogy a public suffix listben miért nincs benne a gov.hu

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

0 szavazat

A hozzászóláshoz be kell jelentkezni

(Itt valamelyik certificate-mezőre gondolsz?)

0 szavazat

A hozzászóláshoz be kell jelentkezni

nem. erre: https://publicsuffix.org/

és többek között erre használják a listát a böngészők: https://publicsuffix.org/learn/

itt kiemelném minden böngészőnél: "Restricting cookie setting". azaz most lehet gov.hu domainre cookie-t tenni. olyan, mintha a .com -ra lehetne, és azt minden .com végződésű írhatná, olvashatná

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

1 szavazat