Segnalo una tips che mi auguro possa essere utile per alcuni di voi, dato che ci ho sbattuto la testa la scorsa settimana in prima persona per quasi 2 giorni.
Lo scenario è il seguente:
Fino a l'altro ieri tutti i miei applicativi dotati di standard di sicurezza SSL hanno funzionato egregiamente con il solito messaggio di Warning che ti avvisa che il certificato SSL non è emesso da una CA Trusted.
(Ovvio che comprando un certificato SSL da Verign & co anche questo mex sparisce dai browser)
Cmq sia. l'utente bastava che premeva "Continue to this website" e si procedeva in tutta sicurezza alla navigazione SSL:
L'altro giorno mi sono accorto che aprendo Internet Explorer (solo questo browser generava il problema) appariva il seguente messaggio di errore...e nonostante premessi "Continue to this website" non procedeva alla navigazione e rimaneva bloccato su questa videata:
Non avevo toccato nulla sui miei server e non avevo toccato nulla sui miei client. Cosa diavolo era successo?
Ho iniziato così a debuggare l'anomalia cercando di ricostruire il problema e trovo che tra me e gli altri client l'unica cosa che c'era in comune erano stati gli aggiornamenti di Microsoft della sera prima.
Scopro da solo facendo un lavoro da certosino, che l'altro giorno durante l'update di Windows 7 è stata rilasciato questa KB 2661254 che una volta disinstallata tutto è tornato alla normalità.
Di conseguenza scopro che i certificati con una chiave RSA < 1024 bits non vengono più accettati.
Rigenero il certificato a 1024bits et voilà tutto funziona!
Prima di installare o deployare un aggiornamento di MS sarebbe quindi meglio leggersi tutte le note...ma quanti di voi lo fanno?
Mi auguro che questo piccolo tips possa essere utile per qualcun'altro.
N.B. Scopro oggi che il problema affrontato settimana scorsa è stato pubblicato sulla technote di IBM questo Venerdì appena trascorso :-D
Nicola Trebbi è CIO presso Lubrimetal SPA
Attenzione ai certificati SSL ed aggiornamenti di Microsoft KB2661254
- 10/15/2012
- 6 commenti
6 Commenti:
Aggiungerei che il livello di bit ora consigliato è salito a 2048, anche se come scritto qui sopra 1024 viene comunque accettato.
Un saluto
Confermo, stesso problema e stessa soluzione ma ci ho sbattuto la testa un giorno intero.
Grazie del consiglio, ho rifatto tutto da capo... tanto 10 minuti bastano!
Ti consiglio di ricreare tutto fai prima usa questa technote di IBM
{ Link }
La ricrezione del certificato a 1024 bit comporta anche la creazione di un nuovo file KYR o non serve? Forse è un'ovvietà, ma non ho dimestichezza con la CA di Domino...
Grazie!
Grazie per per aver condiviso questo caso!
Cristian