[Update 20221202] FATAL: SSL certificate problem: unable to get local issuer certificate

Internet: PHP, CGI, stb.

To:  titkarsag () nki ! gov ! hu

Date: Wed, 2 Nov 2022 10:35:58 +0100

 

T. NKI!

A weboldaluk RSS feed-jei ( https://nki.gov.hu/intezet/tartalom/rss-csatornak/ ) hibára futnak a validátoron, így az RSS klienseken nem frissülnek a hírek:

1) https://nki.gov.hu/figyelmeztetesek/riasztas/feed/

https://validator.w3.org/feed/check.cgi?url=1%29+https%3A%2F%2Fnki.gov.hu%2Ffigyelmeztetesek%2Friasztas%2Ffeed%2F

Error when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]

 

2) https://nki.gov.hu/figyelmeztetesek/serulekenysegek-uj/feed/

https://validator.w3.org/feed/check.cgi?url=https%3A%2F%2Fnki.gov.hu%2Ffigyelmeztetesek%2Fserulekenysegek-uj%2Ffeed%2F

Error when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]

3) https://nki.gov.hu/it-biztonsag/hirek/feed/

https://validator.w3.org/feed/check.cgi?url=https%3A%2F%2Fnki.gov.hu%2Fit-biztonsag%2Fhirek%2Ffeed%2F

Error when fetching content over HTTPs: "HTTPs server has incorrect certificate configuration" [help]

 

Üdv:

-- 
Gabor MICSKO - http://hup.hu

[UPDATE #1]

To:  titkarsag () nki ! gov ! hu

CC: hacker () nki ! gov ! hu

Date: Tue, 15 Nov 2022 12:31:48 +0100

T. NKI Titkárság!

Alábbi levelem 2 hete küldtem Önöknek, de semmilyen választ sem kaptam. Amennyiben nem Önökre tartoznak az ilyen jellegű technikai problémák, kérem továbbítsák a weboldalukat támogató csapatnak.

További infók:

https://hup.hu/node/179963

Köszönettel:

-- 
Gabor MICSKO - http://hup.hu

[UPDATE #2]

A hiba továbbra is fennáll, válasz egyik levélre sem érkezett -> hírolvasó bejegyzések és főoldali blokkok eltávolítva.

  • 576 megtekintés

( trey | 2022. 11. 15., k – 10:34 )

Előzmény: valaki jelezte, hogy nem frissülnek a bal oldali blokkok

Fejlemény: azóta (11. 02.) nincs válasz

További validátor tesztek:

https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/i…

FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/it-biztonsag/hirek/feed/. Did not finish feed tests.

https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/f…

FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/figyelmeztetesek/riasztas/feed/. Did not finish feed tests.

https://www.castfeedvalidator.com/validate.php?url=https://nki.gov.hu/f…

FATAL: SSL certificate problem: unable to get local issuer certificate. Failed to download feed from https://nki.gov.hu/figyelmeztetesek/serulekenysegek-uj/feed/. Did not finish feed tests.

trey @ gépház

( kruska v | 2022. 11. 15., k – 11:18 )

$ curl -Iv https://nki.gov.hu
*   Trying 84.206.8.14:443...
* Connected to nki.gov.hu (84.206.8.14) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (OUT), TLS header, Unknown (21):
* TLSv1.2 (OUT), TLS alert, handshake failure (552):
* error:0A000152:SSL routines::unsafe legacy renegotiation disabled
* Closing connection 0

 

$ openssl s_client -connect nki.gov.hu:443 -showcerts </dev/null
CONNECTED(00000005)
depth=0 C = HU, L = Budapest, O = Nemzetbiztonsági Szakszolgálat, CN = nbsz.gov.hu, serialNumber = 1.3.6.1.4.1.21528.2.3.2.3986
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = HU, L = Budapest, O = Nemzetbiztonsági Szakszolgálat, CN = nbsz.gov.hu, serialNumber = 1.3.6.1.4.1.21528.2.3.2.3986
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=HU/L=Budapest/O=Nemzetbiztonsági Szakszolgálat/CN=nbsz.gov.hu/serialNumber=1.3.6.1.4.1.21528.2.3.2.3986
   i:/C=HU/L=Budapest/O=Microsec Ltd./CN=e-Szigno SSL CA 2014/emailAddress=info@e-szigno.hu

( bajnokk | 2022. 11. 15., k – 12:04 )

TL;DR, ha esetleg valaki nem lenne natív az openssl hibák értelmezésében:

"Kedves NKI, légyszi küldjetek certificate hintet (azaz az intermediate CA-k tanúsítványát kapcsolatfelvételkor), mert enélkül nem tudják a kliensek megbízhatóan validálni a szervert."

( pepelopez | 2022. 11. 15., k – 13:55 )

mennyi hekker van itt, te jó ég :)

( zeller | 2022. 11. 15., k – 16:50 )

Qualys: "This server's certificate chain is incomplete. Grade capped to B." - Mondjam azt, hogy szégyenmozdonyt nekik...?

( kassaiviktor | 2022. 11. 15., k – 17:02 )

engem mondjuk az is érdekelne, hogy a public suffix listben miért nincs benne a gov.hu

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

nem. erre: https://publicsuffix.org/

és többek között erre használják a listát a böngészők: https://publicsuffix.org/learn/

itt kiemelném minden böngészőnél: "Restricting cookie setting". azaz most lehet gov.hu domainre cookie-t tenni. olyan, mintha a .com -ra lehetne, és azt minden .com végződésű írhatná, olvashatná

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.