Client certificate auth - моментально 403 Forbidden

[Oleg-NY]

... для этого потребуется знать приватные ключи и сервера и клиента

А вы, как я погляжу, специалист! Вам ссылку привести или сами нагуглите?

[Palych]

Про допуск любого сертификата подписанного банка это как сделать authorization part. Да все сертификаты определенного chain будут проходить authentication но будут ли все сертификаты данной цепочки проходить authorization это уже вопрос дизайна сервера(сервиса)

все абсолютно верно, но дело даже не в авторизации, сейчас хер с ней.

Судя по всему, раз сервер пускает запросы с одной машины и не пускает с другой, то наверное проблема где то на машине, с которой не пускает. А вот что за проблема непонятно.

HTTP 403 - это ответ сервера.
Это значит что все TLS negotiations уже закончились:
Сервер получил запрос от клиента, этот запрос вызвал подозрения в благих намерениях клиента, и сервер возгласил: "отойди от меня, сатана!"
Так что возможно я не прав насчёт авторизации, и она там таки есть. Но процесс траблшутинга укрепил меня во мнении что mutual authentication не является адекватным инструментом.

[kostik78]

... для этого потребуется знать приватные ключи и сервера и клиента

А вы, как я погляжу, специалист! Вам ссылку привести или сами нагуглите?

Приведите пожалуйста и мы почитаем …
Может Вы не поняли уточняю ещё раз - разговор идёт про mutual cert base auth.

[Palych]

HTTP 403 - это ответ сервера.
Это значит что все TLS negotiations уже закончились:
Сервер получил запрос от клиента, этот запрос вызвал подозрения в благих намерениях клиента, и сервер возгласил: "отойди от меня, сатана!"

Как-то я не конкретно выразился. Уточню для автора топика:
Вся информация о причине отказа находится на сервере.
И причина не связана напрямую с TLS negotiation.
Ищите в логах сервера, не только в tls trace.

[Palych]

... для этого потребуется знать приватные ключи и сервера и клиента

А вы, как я погляжу, специалист! Вам ссылку привести или сами нагуглите?

Ещё один аргумент против mutual authentication: разговоры о ней почти неизбежно скатываются к агрессивным выпадам, наездам, странным ужимкам...
Мы с очень близким приятелем и коллегой чуть не подрались когда я объяснял свои находки и мысли по этой теме.

[Oleg-NY]

... для этого потребуется знать приватные ключи и сервера и клиента

А вы, как я погляжу, специалист! Вам ссылку привести или сами нагуглите?

Ещё один аргумент против mutual authentication: разговоры о ней почти неизбежно скатываются к агрессивным выпадам, наездам, странным ужимкам...
Мы с очень близким приятелем и коллегой чуть не подрались когда я объяснял свои находки и мысли по этой теме.

Так при чем тут mutual authentication к вопросу о возможности MITM атаки если host name не верифицировать?
Мой коментарий был ровно об этом и гугл, если захотеть поискать, выдает это во первых строках!
MITM attack это не про то, чтобы знать приватные ключи клиента или сервера. Если такое произошло, то это уже совсем другой кейс и тут уместно говорить о пробелемах аутентификации, не важно mutual она или нет.
Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме. Если вы со своим близким приятелем общались в таком же стиле, то можно было бы и до драки дойти...

[Oleg-NY]

... для этого потребуется знать приватные ключи и сервера и клиента

А вы, как я погляжу, специалист! Вам ссылку привести или сами нагуглите?

Приведите пожалуйста и мы почитаем …
Может Вы не поняли уточняю ещё раз - разговор идёт про mutual cert base auth.

Какая у вас интересная особенность отвечая на конкретный пост и даже на конкретную его часть, думать и говорить о чем-то своем... ))
Тем не менее, ваша фраза "сверять сертификаты" в контексте предыдушего обсуждения сводится лишь к peer verification. Возможно я что-то пропустил и вы сможете мне указать где бы обсуждалось host name verification, на что я и обратил внимание автора топика.

[Palych]

Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме.

Строго говоря, первым не по теме высказались Вы, но не в этом суть.
Представьте себе если бы разговор был про какую-нибудь аутентификацию на основе пароля (http basic, wsse, etc.)
Тогда при самом высоком эмоциональном накале вряд ли возникли тёрки про MITM...

[Oleg-NY]

Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме.

Строго говоря, первым не по теме высказались Вы, но не в этом суть.

Еще строже говоря, я высказался в корень темы, не отвечая ни на чей пост, а исключительно имея ввиду автора топика (без излишнего цитирования!).
Автор же по соседству очевидно принял это в свой адрес... )) Что именно не по теме в моем сообщении было в таком случае?

[kostik78]

... для этого потребуется знать приватные ключи и сервера и клиента

А вы, как я погляжу, специалист! Вам ссылку привести или сами нагуглите?

Ещё один аргумент против mutual authentication: разговоры о ней почти неизбежно скатываются к агрессивным выпадам, наездам, странным ужимкам...
Мы с очень близким приятелем и коллегой чуть не подрались когда я объяснял свои находки и мысли по этой теме.

Так при чем тут mutual authentication к вопросу о возможности MITM атаки если host name не верифицировать?
Мой коментарий был ровно об этом и гугл, если захотеть поискать, выдает это во первых строках!
MITM attack это не про то, чтобы знать приватные ключи клиента или сервера. Если такое произошло, то это уже совсем другой кейс и тут уместно говорить о пробелемах аутентификации, не важно mutual она или нет.
Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме. Если вы со своим близким приятелем общались в таком же стиле, то можно было бы и до драки дойти...

При mutual ssl auth MITM не возможен в принципе без знания обоих приватных ключей. Разговор вообщем в данном треде был как раз про mutual auth и Ваш комментарий про MITM и верификации хоста в данном случае не валиден вообще (ака не в тему) про что я Вам указал. На что Вы меня обозвали умником и отправили что-то там читать. Дальше логическую цепочку продолжать ?

[Oleg-NY]

Дальше логическую цепочку продолжать ?

Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет...
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))

[shadow7256]

Ищите в логах сервера, не только в tls trace.

У меня сервер на C# написан, self hosted WEB API. А какие там еще могут быть логи кроме TLS trace?

[shadow7256]

Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.

[kostik78]

Дальше логическую цепочку продолжать ?

Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет...
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))

Я как раз никакой словесной эквилибристикой не занимаюсь. Выглядит так что это Вы про себя говорите а приписываете мне. И если Вы прочитаете весь топик то увидите что везде обсуждается mutual SSL auth.

И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM

[kostik78]

Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.

Кстати на уровне "бредовой идеи" - у этого банка случайно нет SSL forward proxy ? В банках и больших корпорациях это довольно распространенное явление. И этот девайс как раз делает MITM для всех девайсов из корпоративной сети. И они вполне могут скрудапить SSL connection.

[Oleg-NY]

И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM

М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! Уже даже не смешно...

[kostik78]

И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM

М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! Уже даже не смешно...

Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.

[Oleg-NY]

Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.

Вы городите одну чушь за другой. Очень хочется ответить словами Филипп Филиппыча, но да ладно. Ну буду нарываться на бан из-за пустяков...

[shadow7256]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

[kostik78]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.

[shadow7256]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.

Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.

[kostik78]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.

Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.

Я бы проверил что посылается в логах, всякое бывает.

[shadow7256]

Я бы проверил что посылается в логах, всякое бывает.

System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

Вроде как показывает, что посылается сертификат.

Я тут нашел про какую то опцию в реестре на машине сервера.

https://stackoverflow.com/questions/272 ... ror-403-16

завтра попрошу индюка установить опцию эту. Посмотрим.

[kostik78]

Я бы проверил что посылается в логах, всякое бывает.

System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

Вроде как показывает, что посылается сертификат.

Я тут нашел про какую то опцию в реестре на машине сервера.

https://stackoverflow.com/questions/272 ... ror-403-16

завтра попрошу индюка установить опцию эту. Посмотрим.

В данном логе я не вижу что клиентский сертификат послан но я не специалист в C#

Про опцию, выглядит обещающе и совпадает с тем что я нарыл пару дней назад про дополнительную секьюрити на винде.

Если не сработает то я бы сделал следующее: синхронизовать логи клиента и Wireshark на сервере что было видно сессию с обоих сторон. Есть вероятность что у них всё-таки стоит ssl forward proxy и он выкусывает клиентский сертификат в процессе перехвата ssl session. Я несколько лет назад из за такого девайся день потерял. У меня правда прилетал TCP reset в процессе handshake

[shadow7256]

В данном логе я не вижу что клиентский сертификат послан но я не специалист в C#

System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

вот здесь. host = 10.138.245.234 - это айпишник сервера. То есть клиент установил коннект с ним и теперь устанавливает secured соединение (через TlsStream) и при этом передает клиентский сертификат - #certs = 1.

Про опцию, выглядит обещающе и совпадает с тем что я нарыл пару дней назад про дополнительную секьюрити на винде.

я честно говорят немного не понял что конкретно она делает.

Есть вероятность что у них всё-таки стоит ssl forward proxy

А нафига он нужен вообще? Что то типа Fiddler? ОНи божатся, что ничего между машинами нет. Даже фаервола.

Я несколько лет назад из за такого девайся день потерял.

так это девайс? или софт все таки?