[pyar] error de conexión ssl

Nippur Lagash nippur69 en gmail.com
Lun Jul 23 13:07:51 -03 2018


También acordate de tocar la configuración de nginx, para hacerlo más
seguro: (en sites-availables)

ssl_protocols TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH !RC4 !aNULL
!eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !EDH";

Saludos

El lun., 23 jul. 2018 a las 12:45, Lucas Gz (<resourceldg en gmail.com>)
escribió:

> Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la
> lista, la verdad es que había que animarse y siempre hay una primera vez
> para todo. Soy nuevo en todo lo referido a programación os pido paciencia,
> voy a intentar ser lo mas claro posible con lo que sucede.
>
> Configurando el certificado SSL me encuentro con los siguiente errores
> (aparentemente aleatorios) en varios navegadores y dispositivoS
> principalmente moviles android versiones 4, 5 y hasta 6 pude testearlo:
> *NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*
>
> *Detalle del error en chrome: "El servidor no pudo probar que su dominos
> es ....configuracion incorrecta ..."*
>
> Nuestro humilde proyecto cooperativo esta estructurado en Ngnix>Gunicorn>
> Supervisor> Django (creo en ese orden)
>
> El sitio está alojado en donweb  donde venden el certificado (RapidSSL)
> pero solo tienen soporte para distros ferozo con lo cual tuve que
> configurar todo como me parecía y creo que el problema viene por el lado de
> que no tengo un certificado intermedio. Para lograr esto me pide que para
> solicitar un certificado intermedio al link "
> https://www.digicert.com/digicert-root-certificates.htm#intermediates" el
> cual no se cómo o con qué comando puedo descargarlo directamente al
> servidor (ubuntu 16.04 64bits) y menos configurarlo en el orden correcto.
>
> Mi pregunta principal es si es normal que los ssl en muchos S.O. y
> navegadores
> surja este error o es algo de lo que debo ocuparme configurandolo
> correctamente y con código se puede mejorar.
> hice varias veces el test de https://www.ssllabs.com/ Y algo que me está
> faltando tambien es la CAA que creo que donweb no esta el lista y el sus
> DNS no tiene la opcion de configurar un RR
>
> debajo dejo el detalle de las versiones y los archivos de configuracion y
> sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
> para el que le quede mas cómodo.
>
> PD: Por seguridad las claves estan modificadas.
>
> MUCHAS GRACIAS!!
>
>
> nginx version: nginx/1.10.3 (Ubuntu)
> OpenSSL version: OpenSSL 1.0.2g  1 Mar 2016
>
>
> // IMPUT: nginx/sites-enabled/nano ...
>
> upstream btn_server {
>   # fail_timeout=0 means we always retry an upstream even if it failed
>   # to return a good HTTP response (in case the Unicorn master nukes a
>   # single worker for timing out).
>   server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
> }
>
> server {
>
>     listen   80;
>     server_name .bitnativo.com www.bitnativo.com;
>     return 301 https://bitnativo.com$request_uri;
>
> }
>
> server {
>         listen 443 ssl;
>         ssl on;
>         ssl_certificate /etc/nginx/ssl/nginx.crt;
>         ssl_certificate_key /etc/nginx/ssl/nginx.key;
>         root /var/www/html/index.nginx-debian.html;
>
>         ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>         ssl_ciphers
> ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:E$
>         ssl_prefer_server_ciphers on;
>         ssl_session_cache shared:SSL:10m;
>         ssl_dhparam /etc/ssl/certs/dhparam.pem;
>
>         ssl_session_timeout 1d;
>         ssl_session_tickets off;
>
>
>         # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6
> mont$
>         # add_header Strict-Transport-Security max-age=15768000;
>
>         # OCSP Stapling ---
>         # fetch OCSP records from URL in ssl_certificate and cache them
>         ssl_stapling on;
>         ssl_stapling_verify on;
>
>         # verify chain of trust of OCSP response using Root CA and
> Intermediate$
>         ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
>
>
>
>     client_max_body_size 4G;
>     access_log /home/ubuntu/logs/nginx-access.log;
>     error_log /home/ubuntu/logs/nginx-error.log;
>
>     location /static/ {
>         alias  /home/ubuntu/static_s/static_root/;
>     }
>
>      location / {
>
>         # an HTTP header important enough to have its own Wikipedia entry:
>         #   http://en.wikipedia.org/wiki/X-Forwarded-For
>         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
>
>
>         # enable this if and only if you use HTTPS, this helps Rack
>         # set the proper protocol for doing redirects:
>          proxy_set_header X-Forwarded-Proto https;
>
>         # pass the Host: header from the client right along so redirects
>         # can be set properly within the Rack application
>         proxy_set_header Host $http_host;
>
>         # we don't want nginx trying to do something clever with
>         # redirects, we set the Host: header above already.
>         proxy_redirect off;
>
>         # set "proxy_buffering off" *only* for Rainbows! when doing
>         # Comet/long-poll stuff.  It's also safe to set if you're
>         # using only serving fast clients with Unicorn + nginx.
>         # Otherwise you _want_ nginx to buffer responses to slow
>         # clients, really.
>         # proxy_buffering off;
>
>         # Try to serve static files from nginx, no point in making an
>         # *application* server like Unicorn/Rainbows! serve static files.
>         if (!-f $request_filename) {
>             proxy_pass http://btn_server;
>             break;
>
>         }
>     }
> }
>
>
> //INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
> www.bitnativo.com:443 -showcerts
>
> //OUTPUT...
>
> CONNECTED(00000003)
> depth=0 CN = bitnativo.com
> verify error:num=20:unable to get local issuer certificate
> verify return:1
> depth=0 CN = bitnativo.com
> verify error:num=21:unable to verify the first certificate
> verify return:1
> ---
> Certificate chain
>  0 s:/CN=bitnativo.com
>    i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
> -----BEGIN CERTIFICATE-----
> M6g/ATxLl+TOu4MTH7Ma+BvkcsAm4QJvCC4JM+HmUgJ3TFdovexmPQdT25zz7DKX
> kSUnUISER28FKaMkyy1SaCHIliGg3opzVIhkKXyz3P+d3KIzslKMMcRLjB0g0mLl
> l/L9PE3IDM9XSZxRNmBcCCo48UIg7OvRPVPnfOwIIxDOPTWSvhH5pnNnvxO3GpBl
> 6da5CL7qUGMA6nhYkCEwPCRLOdAuadYqcm7V0NYWc80d7dGtFeJldfr/Xo64SgO/
> JVriqlNpZl1HAgMBAAGjggK3MIICszAfBgNVHSMEGDAWgBRTyhdZ/GvAAyEvGq7k
> qqgcglbadTAdBgNVHQ4EFgQULnfHqxKwmEXmngr+oyImei3a57gwKwYDVR0RBCQw
> IoINYml0bmF0aXZvLmNvbYIRd3d3LmJpdG5hdGl2by5jb20wDgYDVR0PAQH/BAQD
> AgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjA+BgNVHR8ENzA1MDOg
> MaAvhi1odHRwOi8vY2RwLnJhcGlkc3NsLmNvbS9SYXBpZFNTTFJTQUNBMjAxOC5j
> cmwwTAYDVR0gBEUwQzA3BglghkgBhv1sAQIwKjAoBggrBgEFBQcCARYcaHR0cHM6
> Ly93d3cuZGlnaWNlcnQuY29tL0NQUzAIBgZngQwBAgEwdQYIKwYBBQUHAQEEaTBn
> MCYGCCsGAQUFBzABhhpodHRwOi8vc3RhdHVzLnJhcGlkc3NsLmNvbTA9BggrBgEF
> BQcwAoYxaHR0cDovL2NhY2VydHMucmFwaWR
> -----END CERTIFICATE-----
> ---
> Server certificate
> subject=/CN=bitnativo.com
> issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
> ---
> No client certificate CA names sent
> Peer signing digest: SHA512
> Server Temp Key: ECDH, P-256, 256 bits
> ---
> SSL handshake has read 1981 bytes and written 431 bytes
> ---
> New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
> Server public key is 2048 bit
> Secure Renegotiation IS supported
> Compression: NONE
> Expansion: NONE
> No ALPN negotiated
> SSL-Session:
>     Protocol  : TLSv1.2
>     Cipher    : ECDHE-RSA-AES256-GCM-SHA384
>     Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
>     Session-ID-ctx:
>     Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
>     Key-Arg   : None
>     PSK identity: None
>     PSK identity hint: None
>     SRP username: None
>     Start Time: 1532356180
>     Timeout   : 300 (sec)
>     Verify return code: 21 (unable to verify the first certificate)
> ---
> closed
>
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar



-- 
Nippur
Mar del Plata
Buenos Aires
Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180723/14fc51ba/attachment.html>


Más información sobre la lista de distribución pyar