ssl - ¿Cómo evitar el error ''tlsv1 alert unknown ca'' en libmproxy?
tcp certificate (2)
Esto sucede cuando el certificado de proxySG que se presenta al usuario no está firmado por una CA de confianza.
También tuve este error, lo arreglé presionando la CA (la que se usaba para el proxy ssl) en el navegador real, a través de la política de grupo.
Actualmente libmproxy , que a su vez usa telnetlib , para realizar solicitudes a las páginas web de HTTPS. Sin embargo, se plantea el siguiente error:
Error: [(''SSL routines'', ''SSL3_READ_BYTES'', ''tlsv1 alert unknown ca'')]
Creo que esto está relacionado con la incapacidad de verificar la identidad de la CA que avala el certificado que usa la página. Creo que debería haber una configuración que pueda activar (o desactivar) que permita omitir la verificación. No me interesa verificar la identidad del firmante digital.
Creo que una solución posible, algo fea, podría ser parchear el código para detectar la excepción e ignorarlo, pero preferiría tener una forma más limpia y con más soporte para hacerlo.
¿Cuál es una buena manera de evitar / resolver este problema?
¡Muchas gracias!
Parece que puedes usar el certificado si tienes clientes de Windows.
http://support.microsoft.com/kb/555252
Para clientes Linux puede usar:
sudo mkdir /etc/share/certificates/extra && cp cacert.crt /user/share/certficates/extra/cacert.crt
sudo dpkg-reconfigure ca-certificates
Para clientes de Mac:
sudo security add-trusted-cert -d -r trustRoot -k /
"/Library/Keychains/System.keychain" /
"/private/tmp/certs/certname.cer"
(obtuve esta respuesta de https://apple.stackexchange.com/questions/80623/import-certificates-into-system-keychain-via-the-command-line )
Además, al leer la página web de libmproxy, parece que puede cargar certificados personalizados. Si ya tiene una autoridad de certificación interna en la que sus clientes ya confían, es posible que desee simplemente generar certificados desde allí.