phdru.name / Russian / blog / 2007 / 05 / 15

Журнал: 15 мая 2007: WebMoney - проблема с сертификатом SSL на сайте https://banking.webmoney.ru/

Половину мая переписывался с поддержкой WebMoney по поводу некорректного сертификата SSL на сайте https://banking.webmoney.ru/ - у меня браузеры Mozilla и Opera на него ругаются. Проблема не с самим сертификатом, а с промежуточными сертификатами. Для того, чтобы проверить корректность сертификата, браузер должен иметь доступ ко всей иерархии сертификатов, которые образуют цепочку доверия.

Например, заходим на сайт https://www.networksolutions.com/manage-it/index.jsp, смотрим в браузере цепочку доверия (кликнуть на иконку-замочек, в появившемся диалоге нажать кнопку "View certificate", в следующем диалоге выбрать закладку "Details"), и видим там 5 сертификатов - корневой сертификат AddTrust External CA Root (этот сертификат изначально встроен в браузер, поэтому он распознаётся), им подписан сертификат UTN-USERFirst-Hardware, тот используется для подписи корневого сертификата Network Solutions Certificate Authority, им подписан сертификат Network Solutions EV SSL CA, а этим, наконец, сертификат сайта https://www.networksolutions.com/.

Заходим на сайт https://banking.guarantee.ru/ и видим иерархию из двух сертификатов - корневой сертификат WebMoney Transfer Root Authority (который надо скачать с http://www.webmoney.ru/rus/about/demo/help/common/rootcert.shtml и установить в браузер, тогда он распознаётся), и им подписан сертификат сайта https://banking.guarantee.ru/. Никаких проблем.

А на сайте https://banking.webmoney.ru/ браузеры не распознают никакой иерархии сертификатов, первым и единственным в цепочке доверия идёт сертификат "*.webmoney.ru".

В ответе на соответствующий вопрос на сайте Network Solutions сказано, что проблема в некорректно установленных промежуточных сертификатах: http://customersupport.networksolutions.com/article.php?id=780.

На мои письма с указанием на проблему и просьбой исправить сертификат служба поддержки WebMoney отвечает, что с сертификатом всё в порядке, и это, мол, у меня проблемы - неправильно установленный браузер, или ещё какая бяка.

Upd. Вернулся из отпуска и попытался продолжить переписываться с support@webmoney.ru. Они перестали отвечать на мои письма. Видимо, я их сильно достал.

Upd3. Исследую сертификат SSL с помощью OpenSSL:

$ openssl s_client -connect banking.webmoney.ru:443
[skip]
Certificate chain
 0 s:/C=RU/postalCode=115035/ST=ru/L=Moscow/streetAddress=71/11 Sadovnitcheskaya st./O=CJSC Computing Forces/OU=WebMoney Transfer Technical Support/OU=Secure Link SSL Wildcard/CN=*.webmoney.ru
   i:/C=US/O=Network Solutions L.L.C./CN=Network Solutions Certificate Authority
[skip]

Вот где проблема - в браузерах Mozilla и Opera отсутствует сертификат организации "Network Solutions L.L.C."

Рассмотрим, как сертификаты устроены на сайте https://www.networksolutions.com/

$ openssl s_client -connect www.networksolutions.com:443
[skip]
Certificate chain
 0 s:/serialNumber=3713002/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=De laware/C=US/ST=Virginia/L=Herndon/O=Network Solutions, LLC/OU=Registrar/OU=Secure Link EV SSL/CN=www.networksolutions.com
   i:/C=US/O=Network Solutions L.L.C./CN=Network Solutions EV SSL CA
 1 s:/C=US/O=Network Solutions L.L.C./CN=Network Solutions EV SSL CA
   i:/C=US/O=Network Solutions L.L.C./CN=Network Solutions Certificate Authority
 2 s:/C=US/O=Network Solutions L.L.C./CN=Network Solutions Certificate Authority
   i:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware
 3 s:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
[skip]

Проверка certificate chain начинается с последнего issuer, в данном случае с

i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

Сертификат организации "AddTrust AB", Common Name "AddTrust External CA Root" браузерам известен. Ну а дальше вся цепочка сертификатов проверяется успешно.

Upd4. После отправки в support последней информации (openssl s_client) они исправили сертификат за 1 день! Проблема решена, Mozilla и Opera открывают этот сайт без проблем.


Тег: webmoney

Эта страница http://phdru.name/Russian/blog/2007/05/15/webmoney.html была сгенерирована 08.06.2014 в 20:52:09 из шаблона CheetahTemplate webmoney.tmpl; Некоторые права зарезервированы. Вы можете узнать о технических аспектах этого сайта.