Linux за българи: Форуми

Здравейте,
Опитвам се да се свържа със сайта на ДСК. https://www.dskdirect.bg/ ($2) , обаче се получава следното:
Secure Connection Failed
An error occurred during a connection to www.dskdirect.bg.
# The page you are trying to view can not be shown because the authenticity of the received data could not be verified.

#   Please contact the web site owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.
Линукса ми е GENTOO, firefox3.6
ребилднах nss,nspr,xulrunner,mozilla-firefox,openssl,sqlite
Проверих и за счупени зависимости с revdep-rebuild
С lynx и konqueror дава изтичане на таймаута към този сайт
ето и изхода на ссл
openssl s_client -connect www.dskdirect.bg:443 -state -nbio
CONNECTED(00000003)                                                                                           
turning on non blocking io                                                                                     
SSL_connect:before/connect initialization                                                                     
SSL_connect:SSLv2/v3 write client hello A                                                                     
SSL_connect:error in SSLv2/v3 read server hello A                                                             
write R BLOCK                                                                                                 
SSL_connect:error in SSLv3 read server hello A                                                                 
SSL_connect:error in SSLv3 read server hello A                                                                 
read R BLOCK                                                                                                   
SSL_connect:error in SSLv3 read server hello A                                                                 
read R BLOCK                                                                                                   
SSL_connect:error in SSLv3 read server hello A                                                                 
read R BLOCK                                                                                                   
SSL_connect:SSLv3 read server hello A                                                                         
depth=2 /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5                                                                                                                                                     
verify error:num=20:unable to get local issuer certificate                                                                                                       
verify return:0                                                                                                                                                 
SSL_connect:SSLv3 read server certificate A                                                                                                                     
SSL_connect:SSLv3 read server done A                                                                                                                             
SSL_connect:SSLv3 write client key exchange A                                                                                                                   
SSL_connect:SSLv3 write change cipher spec A                                                                                                                     
SSL_connect:SSLv3 write finished A                                                                                                                               
SSL_connect:SSLv3 flush data                                                                                                                                     
SSL_connect:error in SSLv3 read finished A                                                                                                                       
read R BLOCK                                                                                                                                                     
SSL_connect:SSLv3 read finished A                                                                                                                               
read R BLOCK                                                                                                                                                     
---                                                                                                                                                             
Certificate chain                                                                                                                                               
 0 s:/1.3.6.1.4.1.311.60.2.1.3=BG/2.5.4.15=V1.0, Clause 5.(b)/serialNumber=756/1999/C=BG/postalCode=1036/ST=SOFIA/L=SOFIA/streetAddress=19 MOSKOVSKA STR./O=DSK BANK EAD/OU=IT Department/CN=www.dskdirect.bg                                                                                                                     
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA   
 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA   
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5                                                                                                                                                       
 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5                                                                                                                                                       
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority                                                                                   
---                                                                                                                                                             
Server certificate                                                                                                                                               
-----BEGIN CERTIFICATE-----                                                                                                                                     
---- резнато ---

-----END CERTIFICATE-----
subject=/1.3.6.1.4.1.311.60.2.1.3=BG/2.5.4.15=V1.0, Clause 5.(b)/serialNumber=756/1999/C=BG/postalCode=1036/ST=SOFIA/L=SOFIA/streetAddress=19 MOSKOVSKA STR./O=DSK BANK EAD/OU=IT Department/CN=www.dskdirect.bg
issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL SGC CA
---
No client certificate CA names sent
---
SSL handshake has read 4397 bytes and written 324 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-MD5
    Session-ID: 1D170000A6CDDAE8DDDE6ADB06B01E7A4C00F475CE5581436515649AAB843331
    Session-ID-ctx:
    Master-Key: F8D2583163B2D01D9C647DE284B34120B035C8C440BF90D3F81579FB0F4A26DB762998994C62891C7B64FFFAFA564D98
    Key-Arg   : None
    Start Time: 1264447491
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
read:errno=104

С ссл на дир.бг се свързвам без проблеми, както и с други сайтове с ссл.
Със лапатопа който е убунту няма проблеми.

Някакви идей ???

След това "read:errno=104" накрая връзката разпада ли се или примерно можеш да пратиш нещо от сорта на GET /  HTTP/1.0  и да ти се върне резултат?

До тази грешка, всичко изглежда нормално. Онези read грешки горе са нормални, защото това е non-blocking сокет, а тази грешка 20 при проверката на certificate chain-а е нормална, най-вероятно в списъка с доверени сертификати на openssl не е добавен verisign-ския EVSSL CA сертификат.

Единствено накрая грешката изглежда странна.

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=561918

Имах подобен проблем миналата година. Обаждах се няколко пъти на кол-центъра, но като чуеха за комбинацията линукс + файерфокс, ме прехвърляха един на друг, без резултат. Накрая попаднах на едно девойче, което ми продиктува поредица от стъпки, които за жалост съм загубил, но си спомням, че едно от условията беше слагане на мастер парола. Звънни до кол-центъра и... късмет!

може да си омазал или на verisign rootca веригата или на дск:

верига ДСК:
-----BEGIN CERTIFICATE-----                     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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

VeriSignClass3PublicPrimaryCertificationAuthority-G5

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


запиши ги във файл и след това през firefox ги импортни

Не е от веригите...(и най-малкото не import-вай някакви сертификати дадени ти от някой си във форум)
Проблемът ти със сигурност е това, което ти е казал още преди няколко поста sstefanov:
В новата версия на libnss3-1d (3.12.5-1) по подразбиране е изключен SSL/TLS renegotiation-а
заради проблеми в сигурността на ОpenSSL (CVE-2009-3555)

Имаш два варианта (и двата са проверени и работят):
1. Палиш iceweasel-a с environment променлива:
~$ export NSS_SSL_ENABLE_RENEGOTIATION=1
~$ iceweasel
2. Downgrade-ваш до стара версия, с която няма проблем и си работи: libnss3-1d (3.12.3.1-0lenny1)

И така докато не се фиксне тоя бъг.

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=561918

Експортването
export NSS_SSL_ENABLE_RENEGOTIATION=1
Върши работа. Точно за тази работа се касае. Много е страно, но явно ще си го включа в rc скрипта. Не ми се иска да смъквам версията, защото ще я забравя, или ще ми стене непрекъснато за ъпдейти.
За съжаление при компилирането на библиотеката неможе да се зададе да е разрешено RENEGOTIATION-а.
Благодаря ви. Отворен съм за всякакви интересни предложения. Дистрибуцията ми е Gentoo. на Убунтуто нямам този проблем.

Възможно такава грешка да се генерира и ако в браузера има потребителски сертификат издаден от тях с изтекла валидност,  с опция да се зарежда по подразбиране. необходимо е такъв изтекъл сертификат да изтрие от браузера защото е възможно да прави проверка за валидност на представения сертификат ...