phdru.name / Russian / blog / 2007 / 05 / 15
| <-- Первая покупка за WebMoney | Отпуск в Сочи --> |
Половину мая переписывался с поддержкой WebMoney по поводу некорректного сертификата SSL на сайте https://banking.webmoney.ru/ - у меня браузеры Mozilla и Opera на него ругаются. Проблема не с самим сертификатом, а с промежуточными сертификатами. Для того, чтобы проверить корректность сертификата, браузер должен иметь доступ ко всей иерархии сертификатов, которые образуют цепочку доверия.
Например, заходим на сайт https://www.networksolutions.com/manage-it/index.jsp, смотрим в браузере цепочку доверия (кликнуть на иконку-замочек, в появившемся диалоге нажать кнопку "View certificate", в следующем диалоге выбрать закладку "Details"), и видим там 5 сертификатов - корневой сертификат AddTrust External CA Root (этот сертификат изначально встроен в браузер, поэтому он распознаётся), им подписан сертификат UTN-USERFirst-Hardware, тот используется для подписи корневого сертификата Network Solutions Certificate Authority, им подписан сертификат Network Solutions EV SSL CA, а этим, наконец, сертификат сайта https://www.networksolutions.com/.
Заходим на сайт https://banking.guarantee.ru/ и видим иерархию из двух сертификатов - корневой сертификат WebMoney Transfer Root Authority (который надо скачать с http://www.webmoney.ru/rus/about/demo/help/common/rootcert.shtml и установить в браузер, тогда он распознаётся), и им подписан сертификат сайта https://banking.guarantee.ru/. Никаких проблем.
А на сайте https://banking.webmoney.ru/ браузеры не распознают никакой иерархии сертификатов, первым и единственным в цепочке доверия идёт сертификат "*.webmoney.ru".
В ответе на соответствующий вопрос на сайте Network Solutions сказано, что проблема в некорректно установленных промежуточных сертификатах: http://customersupport.networksolutions.com/article.php?id=780.
На мои письма с указанием на проблему и просьбой исправить сертификат служба поддержки WebMoney отвечает, что с сертификатом всё в порядке, и это, мол, у меня проблемы - неправильно установленный браузер, или ещё какая бяка.
Upd. Вернулся из отпуска и попытался продолжить переписываться с support@webmoney.ru. Они перестали отвечать на мои письма. Видимо, я их сильно достал.
Upd3. Исследую сертификат SSL с помощью OpenSSL:
$ openssl s_client -connect banking.webmoney.ru:443 [skip] Certificate chain 0 s:/C=RU/postalCode=115035/ST=ru/L=Moscow/streetAddress=71/11 Sadovnitcheskaya st./O=CJSC Computing Forces/OU=WebMoney Transfer Technical Support/OU=Secure Link SSL Wildcard/CN=*.webmoney.ru i:/C=US/O=Network Solutions L.L.C./CN=Network Solutions Certificate Authority [skip]
Вот где проблема - в браузерах Mozilla и Opera отсутствует сертификат организации "Network Solutions L.L.C."
Рассмотрим, как сертификаты устроены на сайте https://www.networksolutions.com/
$ openssl s_client -connect www.networksolutions.com:443 [skip] Certificate chain 0 s:/serialNumber=3713002/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=De laware/C=US/ST=Virginia/L=Herndon/O=Network Solutions, LLC/OU=Registrar/OU=Secure Link EV SSL/CN=www.networksolutions.com i:/C=US/O=Network Solutions L.L.C./CN=Network Solutions EV SSL CA 1 s:/C=US/O=Network Solutions L.L.C./CN=Network Solutions EV SSL CA i:/C=US/O=Network Solutions L.L.C./CN=Network Solutions Certificate Authority 2 s:/C=US/O=Network Solutions L.L.C./CN=Network Solutions Certificate Authority i:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware 3 s:/C=US/ST=UT/L=Salt Lake City/O=The USERTRUST Network/OU=http://www.usertrust.com/CN=UTN-USERFirst-Hardware i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root [skip]
Проверка certificate chain начинается с последнего issuer, в данном случае с
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
Сертификат организации "AddTrust AB", Common Name "AddTrust External CA Root" браузерам известен. Ну а дальше вся цепочка сертификатов проверяется успешно.
Upd4. После отправки в support последней информации (openssl s_client) они исправили сертификат за 1 день! Проблема решена, Mozilla и Opera открывают этот сайт без проблем.
Эта страница https://phdru.name/Russian/blog/2007/05/15/webmoney.html была сгенерирована 16.06.2024 в 13:02:58 из шаблона CheetahTemplate webmoney.tmpl; Некоторые права зарезервированы. Вы можете узнать о технических аспектах этого сайта.