Creo que están filtrando por el SNI (server name indication) El 27/4/20 a les 1:49, fadelkon ha escrit: > El 27/4/20 a les 0:19, Jose Legido ha escrit: >> Si de línea de comandos hacen esto: >> openssl s_client -connect 67.213.76.19:443 <http://67.213.76.19:443> >> -prexit >> Tiene que mostrar el certificado original de let's encrypt y >> poniéndose esta línea en /etc/hosts tendrían que poder navegar >> correctamente: >> 67.213.76.19 womenonweb.org <http://womenonweb.org> www.womenonweb.org >> <http://www.womenonweb.org> > Me parece muy interesante. Con openssl (TLS sin nada más) me devuelve el > certificado correcto, con lynx (TLS con HTTP dentro) no.
Mirad: > $ openssl s_client -connect 67.213.76.19:443 |& grep issuer > issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 Si llamamos el cliente de openssl con la IP, no sabe nada del server name, así que no añade esta "extensión" al Client Hello de TLS (corroborado con wireshark). En cambio: > $ openssl s_client -connect www.womenonweb.org:443 |& grep issuer > issuer=C = ES, ST = Madrid, L = Madrid, O = Allot, OU = Allot, CN = allot.com/[email protected] Si llamamos el cliente por el dominio, a parte de resolverlo a una IP, añade el nombre del servidor al Client Hello de TLS (corroborado también). Creéis que puede ser ésto? Qué os sale a vosotrxs? fdk
signature.asc
Description: OpenPGP digital signature
_______________________________________________ HackMeeting mailing list [email protected] https://listas.sindominio.net/mailman/listinfo/hackmeeting
