1 votos

Bao Thien Ngo avatar

¿Cómo se borran las asignaciones de los certificados de hoja SSL a determinados dominios?

Preguntado el 11 de Julio, 2019
Cuando se hizo la pregunta
131 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Visito mi sitio web usando Chrome en MacOS Mojave, por ejemplo, qa.abc.com, y el certificado de hoja SSL es de customer-test.ssl.fastly.net. Recientemente he actualizado el registro CNAME en mis DNS para qa.abc.com de modo que apunte a b3.shared.global.fastly.net. Cuando visito qa.abc.com, resuelve el certificado SSL en customer-test.ssl.fastly.net en lugar de b3.shared.global.fastly.net.

Uno pensaría que borrar la caché podría hacer el truco, pero no, ya sea en el modo de incógnito de Chrome o limpiando su caché, sigue siendo lo mismo. Entonces comprobé tanto en Safari, Firefox, e incluso traté de ejecutar el siguiente comando en mi Terminal:

echo | openssl s_client -connect qa.abc.com:443

con el resultado de que:

---
Certificate chain
 0 s:/C=US/ST=California/L=San Francisco/O=Fastly, Inc./CN=customer-test.ssl.fastly.net
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign CloudSSL CA - SHA256 - G3
 1 s:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign CloudSSL CA - SHA256 - G3
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA

Si accedo a la máquina Windows 10 de mi hermano en la misma red wifi, el sitio web extrae correctamente el certificado SSL de b3.shared.global.fastly.net. Si accedo al sitio a través de mi iPhone 6, está tirando correctamente de b3.shared.global.fastly.net. Si navego en mi MacBook a través del tethering en mi iPhone 6, sigue apareciendo como customer-test.ssl.fastly.net.

Así que, lo sabemos:

  1. No está relacionado con el navegador, ya que todos los navegadores se ven afectados de la misma manera misma manera, incluyendo openssl en la línea de comandos
  2. No está relacionado con la red, ya que otros dispositivos de la misma red funcionan bien.

Sospecho que el mapeo entre un certificado SSL y un dominio se almacena en caché en algún lugar a nivel del sistema operativo.

Otras cosas que he probado pero no han funcionado:

  1. Reiniciar el ordenador apagándolo y volviéndolo a encender
  2. Busque cualquier certificado caducado en Keychain Access (sí, ya activé la visualización de certificados caducados ocultos), pero no encontré nada relacionado con mi sitio web o con Fastly, y no encontré nada malo con ninguno de los certificados de Globalsign.
  3. Intenté eliminar CRL y OCSP Cache para GlobalSign, pero no es relevante porque /var/db/crls/crlcache.db, /var/db/crls/ocspcache.db, ni ~/Library/Keychains/*/ocspcache.sqlite3 existen en MacOS Mojave.
Preguntado el 11 de Julio, 2019 por Bao Thien Ngo

Respuestas

¿Demasiados anuncios?

1voto

Jose Chavez avatar
Jose Chavez Puntos 645

No hay caché de los certificados SSL así. No es un problema de caché en el cliente.

El problema aquí es con el servidor - presenta el certificado equivocado (desde su punto de vista).

La razón por la que algunos clientes ven un certificado y otros ven otro es muy probablemente debido a la CDN y/o al equilibrio de carga, lo que significa que no está llegando al mismo punto final. Es probable que el servidor esté utilizando conexiones persistentes (también conocidas como sesiones pegajosas), lo que significa que tu MacBook ve una cosa, pero tu iPhone y tu máquina Windows 10 otra.

Esto es algo que hay que resolver a nivel del servidor. No tiene nada que ver con tu Mac como tal.

Respondido el 11 de Julio, 2019 por Jose Chavez (645 Puntos )

1voto

Bao Thien Ngo avatar
Bao Thien Ngo Puntos 108

Resulta que lo que ocurrió fue que mapeé el dominio a una IP específica en mi archivo local /etc/hosts. Estaba apuntando a un nodo CDN que estaba sirviendo el antiguo certificado. Una vez que eliminé la entrada, apuntaba a un nuevo nodo con el certificado correcto.

Respondido el 26 de Julio, 2019 por Bao Thien Ngo (108 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X