Ao consultar o URL da CDN do Sparkfun usando o OpenSSL com o seguinte comando:
openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443
O nome comum retornado no certificado é *.sparkfun.com
, que falha ao verificar, mas se você carregar o host no Chrome, o nome comum mostrado é*.cloudfront.net
O que está acontecendo aqui?
Isso está causando um problema porque o ambiente em que estou nos proxies SSL via Squid SSL_Bump, que gera um certificado assinado pela minha CA localmente confiável para o domínio. Isso funciona para todos os domínios, exceto o acima, pois o CN não corresponde à medida que o novo certificado é gerado usando o OpenSSL.
EDIT - Verifiquei o mesmo com o OpenSSL em um servidor em um datacenter remoto que possui uma conexão direta com a Internet sem proxies ou filtros envolvidos.
EDIT - O problema é devido ao SNI, conforme aceito, mas para preencher as informações sobre o motivo pelo qual causa um problema com o Squid e o SSL_Bump:
Este projeto não suporta o encaminhamento de informações SNI (SSL Server Name Indication) para o servidor de origem e dificulta um pouco esse suporte. No entanto, o encaminhamento do SNI tem seus próprios desafios sérios (além do escopo deste documento) que superam em muito as dificuldades adicionais de encaminhamento.
Retirado de: http://wiki.squid-cache.org/Features/BumpSslServerFirst
fonte
O Chrome suporta SNI , informando ao servidor qual certificado enviar. O
s_client
comando não.Há mais detalhes sobre o uso do SNI pelo CloudFront aqui .
e:
fonte
s_client
que não suportava CLI. Eu disse que os_client
comando (no OP) não.