[pyar] error de conexión ssl

Lucas Gz resourceldg en gmail.com
Lun Jul 23 13:18:17 -03 2018
Mensaje anterior: [pyar] error de conexión ssl
Próximo mensaje: [pyar] error de conexión ssl
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]
Gracias por tu tiempo. Me pongo a verlo...

2018-07-23 13:05 GMT-03:00 Nippur Lagash <nippur69 en gmail.com>:

> Tu certificado pareciera que está autofirmado, https://certbot.eff.org/
> en esa página podes generar un certificado.
>
> Saludos,
>
> El lun., 23 jul. 2018 a las 12:45, Lucas Gz (<resourceldg en gmail.com>)
> escribió:
>
>> Buen día mi nombre es Lucas (Fierro) esta es mi primer consulta a la
>> lista, la verdad es que había que animarse y siempre hay una primera vez
>> para todo. Soy nuevo en todo lo referido a programación os pido paciencia,
>> voy a intentar ser lo mas claro posible con lo que sucede.
>>
>> Configurando el certificado SSL me encuentro con los siguiente errores
>> (aparentemente aleatorios) en varios navegadores y dispositivoS
>> principalmente moviles android versiones 4, 5 y hasta 6 pude testearlo:
>> *NET*::*ERR_CERT_AUTHORITY_INVALID o ERROR DE CONEXION SSL*
>>
>> *Detalle del error en chrome: "El servidor no pudo probar que su dominos
>> es ....configuracion incorrecta ..."*
>>
>> Nuestro humilde proyecto cooperativo esta estructurado en Ngnix>Gunicorn>
>> Supervisor> Django (creo en ese orden)
>>
>> El sitio está alojado en donweb  donde venden el certificado (RapidSSL)
>> pero solo tienen soporte para distros ferozo con lo cual tuve que
>> configurar todo como me parecía y creo que el problema viene por el lado de
>> que no tengo un certificado intermedio. Para lograr esto me pide que para
>> solicitar un certificado intermedio al link "https://www.digicert.com/
>> digicert-root-certificates.htm#intermediates" el cual no se cómo o con
>> qué comando puedo descargarlo directamente al servidor (ubuntu 16.04
>> 64bits) y menos configurarlo en el orden correcto.
>>
>> Mi pregunta principal es si es normal que los ssl en muchos S.O. y
>> navegadores
>> surja este error o es algo de lo que debo ocuparme configurandolo
>> correctamente y con código se puede mejorar.
>> hice varias veces el test de https://www.ssllabs.com/ Y algo que me está
>> faltando tambien es la CAA que creo que donweb no esta el lista y el sus
>> DNS no tiene la opcion de configurar un RR
>>
>> debajo dejo el detalle de las versiones y los archivos de configuracion y
>> sino en este linkode https://linkode.org/#eIV10JSIALSZnOUWgpYXv1
>> para el que le quede mas cómodo.
>>
>> PD: Por seguridad las claves estan modificadas.
>>
>> MUCHAS GRACIAS!!
>>
>>
>> nginx version: nginx/1.10.3 (Ubuntu)
>> OpenSSL version: OpenSSL 1.0.2g  1 Mar 2016
>>
>>
>> // IMPUT: nginx/sites-enabled/nano ...
>>
>> upstream btn_server {
>>   # fail_timeout=0 means we always retry an upstream even if it failed
>>   # to return a good HTTP response (in case the Unicorn master nukes a
>>   # single worker for timing out).
>>   server unix:/home/ubuntu/env/run/gunicorn.sock fail_timeout=0;
>> }
>>
>> server {
>>
>>     listen   80;
>>     server_name .bitnativo.com www.bitnativo.com;
>>     return 301 https://bitnativo.com$request_uri;
>>
>> }
>>
>> server {
>>         listen 443 ssl;
>>         ssl on;
>>         ssl_certificate /etc/nginx/ssl/nginx.crt;
>>         ssl_certificate_key /etc/nginx/ssl/nginx.key;
>>         root /var/www/html/index.nginx-debian.html;
>>
>>         ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>>         ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:
>> ECDHE-RSA-AES256-GCM-SHA384:E$
>>         ssl_prefer_server_ciphers on;
>>         ssl_session_cache shared:SSL:10m;
>>         ssl_dhparam /etc/ssl/certs/dhparam.pem;
>>
>>         ssl_session_timeout 1d;
>>         ssl_session_tickets off;
>>
>>
>>         # HSTS (ngx_http_headers_module is required) (15768000 seconds =
>> 6 mont$
>>         # add_header Strict-Transport-Security max-age=15768000;
>>
>>         # OCSP Stapling ---
>>         # fetch OCSP records from URL in ssl_certificate and cache them
>>         ssl_stapling on;
>>         ssl_stapling_verify on;
>>
>>         # verify chain of trust of OCSP response using Root CA and
>> Intermediate$
>>         ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
>>
>>
>>
>>     client_max_body_size 4G;
>>     access_log /home/ubuntu/logs/nginx-access.log;
>>     error_log /home/ubuntu/logs/nginx-error.log;
>>
>>     location /static/ {
>>         alias  /home/ubuntu/static_s/static_root/;
>>     }
>>
>>      location / {
>>
>>         # an HTTP header important enough to have its own Wikipedia entry:
>>         #   http://en.wikipedia.org/wiki/X-Forwarded-For
>>         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
>>
>>
>>         # enable this if and only if you use HTTPS, this helps Rack
>>         # set the proper protocol for doing redirects:
>>          proxy_set_header X-Forwarded-Proto https;
>>
>>         # pass the Host: header from the client right along so redirects
>>         # can be set properly within the Rack application
>>         proxy_set_header Host $http_host;
>>
>>         # we don't want nginx trying to do something clever with
>>         # redirects, we set the Host: header above already.
>>         proxy_redirect off;
>>
>>         # set "proxy_buffering off" *only* for Rainbows! when doing
>>         # Comet/long-poll stuff.  It's also safe to set if you're
>>         # using only serving fast clients with Unicorn + nginx.
>>         # Otherwise you _want_ nginx to buffer responses to slow
>>         # clients, really.
>>         # proxy_buffering off;
>>
>>         # Try to serve static files from nginx, no point in making an
>>         # *application* server like Unicorn/Rainbows! serve static files.
>>         if (!-f $request_filename) {
>>             proxy_pass http://btn_server;
>>             break;
>>
>>         }
>>     }
>> }
>>
>>
>> //INPUT P VER LOS CERTIFICADOS: openssl s_client -connect
>> www.bitnativo.com:443 -showcerts
>>
>> //OUTPUT...
>>
>> CONNECTED(00000003)
>> depth=0 CN = bitnativo.com
>> verify error:num=20:unable to get local issuer certificate
>> verify return:1
>> depth=0 CN = bitnativo.com
>> verify error:num=21:unable to verify the first certificate
>> verify return:1
>> ---
>> Certificate chain
>>  0 s:/CN=bitnativo.com
>>    i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
>> -----BEGIN CERTIFICATE-----
>> M6g/ATxLl+TOu4MTH7Ma+BvkcsAm4QJvCC4JM+HmUgJ3TFdovexmPQdT25zz7DKX
>> kSUnUISER28FKaMkyy1SaCHIliGg3opzVIhkKXyz3P+d3KIzslKMMcRLjB0g0mLl
>> l/L9PE3IDM9XSZxRNmBcCCo48UIg7OvRPVPnfOwIIxDOPTWSvhH5pnNnvxO3GpBl
>> 6da5CL7qUGMA6nhYkCEwPCRLOdAuadYqcm7V0NYWc80d7dGtFeJldfr/Xo64SgO/
>> JVriqlNpZl1HAgMBAAGjggK3MIICszAfBgNVHSMEGDAWgBRTyhdZ/GvAAyEvGq7k
>> qqgcglbadTAdBgNVHQ4EFgQULnfHqxKwmEXmngr+oyImei3a57gwKwYDVR0RBCQw
>> IoINYml0bmF0aXZvLmNvbYIRd3d3LmJpdG5hdGl2by5jb20wDgYDVR0PAQH/BAQD
>> AgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjA+BgNVHR8ENzA1MDOg
>> MaAvhi1odHRwOi8vY2RwLnJhcGlkc3NsLmNvbS9SYXBpZFNTTFJTQUNBMjAxOC5j
>> cmwwTAYDVR0gBEUwQzA3BglghkgBhv1sAQIwKjAoBggrBgEFBQcCARYcaHR0cHM6
>> Ly93d3cuZGlnaWNlcnQuY29tL0NQUzAIBgZngQwBAgEwdQYIKwYBBQUHAQEEaTBn
>> MCYGCCsGAQUFBzABhhpodHRwOi8vc3RhdHVzLnJhcGlkc3NsLmNvbTA9BggrBgEF
>> BQcwAoYxaHR0cDovL2NhY2VydHMucmFwaWR
>> -----END CERTIFICATE-----
>> ---
>> Server certificate
>> subject=/CN=bitnativo.com
>> issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL RSA CA 2018
>> ---
>> No client certificate CA names sent
>> Peer signing digest: SHA512
>> Server Temp Key: ECDH, P-256, 256 bits
>> ---
>> SSL handshake has read 1981 bytes and written 431 bytes
>> ---
>> New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
>> Server public key is 2048 bit
>> Secure Renegotiation IS supported
>> Compression: NONE
>> Expansion: NONE
>> No ALPN negotiated
>> SSL-Session:
>>     Protocol  : TLSv1.2
>>     Cipher    : ECDHE-RSA-AES256-GCM-SHA384
>>     Session-ID: 85290D91CA6CAECA7FC949F0230D7AE7875514
>>     Session-ID-ctx:
>>     Master-Key: 25BABC3E6D73A4ED8045D24571F512BF2BE72C872C80
>>     Key-Arg   : None
>>     PSK identity: None
>>     PSK identity hint: None
>>     SRP username: None
>>     Start Time: 1532356180
>>     Timeout   : 300 (sec)
>>     Verify return code: 21 (unable to verify the first certificate)
>> ---
>> closed
>>
>>
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>
>
>
> --
> Nippur
> Mar del Plata
> Buenos Aires
> Argentina
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180723/d1a807c9/attachment-0001.html>
Mensaje anterior: [pyar] error de conexión ssl
Próximo mensaje: [pyar] error de conexión ssl
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]
Más información sobre la lista de distribución pyar