Erreur SSL Certificat nom de l'objet ne correspond pas à la cible d'accueil pour github.com

J'essaye d'accéder à de github dépôts en utilisant git fetch mais j'obtiens cette erreur:

error: SSL: certificate subject name (*.opendns.com) does not match target host name 'github.com' while accessing https://github.com/<repo name>

Ce qui s'est passé plus tôt cette après-midi très soudainement, et il n'est pas allé loin. J'ai pensé qu'il pourrait y avoir un problème avec Github rejetant les anciennes versions d'OpenSSL.

Je suis sous Ubuntu 11.04 (Natty Narwhal), Git 1.7.4.1, et
openssl version -a donne ça:

OpenSSL 0.9.8o 01 Jun 2010
built on: Tue May 22 23:20:32 UTC 2012
platform: debian-i386
options:  bn(64,32) md2(int) rc4(idx,int) des(ptr,risc1,16,long) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -
DHAVE_DLFCN_H -DL_ENDIAN -DTERMIO -O3 -Wa,--noexecstack -g -Wall
OPENSSLDIR: "/usr/lib/ssl"

Toute aide serait grandement appréciée!

Mise à JOUR 5/1/2014:

Fini la mise à jour de Ubuntu pour résoudre ce problème. Lu quelque part que c'est la solution la plus sûre puisque les deux ma machine locale et de Github serveurs seront up-to-date avec les uns des autres que possible.

Qu'est-ce que l'URL que vous essayez d'accès?
Je suis en train d'essayer d'accéder à un repo github si l'URL est github.com{repo_name} où {repo_name} est le chemin vers le repo. Je ne peux pas dire que l'URL réelle puisqu'il est privé de pensions, mais il ne devrait pas. L'idée, c'est que je suis en train d'essayer d'accéder à github.com
Cette question appartient à un autre site dans la Pile réseau d'Échange. Peut-être superuser.com ou serverfault.com.
si vous pouvez affiner votre question à un particulier git problème, alors la question est peut-être sujet à un Débordement de Pile. Mais je pense que comme il est, c'est probablement mieux adapté pour un autre site sur la Pile d'Échange.

OriginalL'auteur StanMarsh | 2014-04-22

openssl

4

Vous avez besoin de modifier votre /etc/resolv.conf fichier et supprimer/remplacer toute référence à des serveurs OpenDNS. C'est ce que j'ai fait pour mon /etc/resolv.conf

Dans /etc/resolv.conf, remplacer
```
#OpenDNS
nameserver 208.67.222.222
nameserver 208.67.220.220
```
à
```
#Google
nameserver 8.8.8.8
nameserver 8.8.4.4
```
Laissez-moi savoir si cela résout votre problème SSL.

Super! Cela semble fonctionner, mais je suis préoccupé par une chose. Cette resolv.conf semble que ça va être remplacée par de l'OS. Avez-vous rencontrées? Si oui, il pourrait ne pas être une bonne solution permanente..
Il ne devrait pas être écrasé. Vous pouvez le tester par le redémarrage de votre serveur.
Si aucune des réponses résolu votre problème, vous devez accepter/sélectionner la réponse. Il pourrait aider d'autres personnes qui ont des problèmes similaires. 🙂
Je sais, mais malheureusement, j'ai essayé votre solution et j'ai observé le fichier automatiquement écrasés. Je ne sais pas ce que je faisais de mal.. j'ai fini la mise à jour de Ubuntu, qui semblait être le meilleur et le plus sécurisé de la solution.
pourquoi changer de DNS résoudre le problème? Est OpenDNS la diffusion d'annonces ou de quelque chose (comme Macports Douteuses et les DNS). Ou était-ce juste une rassis bloc d'enregistrements de ressource?

OriginalL'auteur asyadiqin
2

Suffit d'utiliser:
```
(CURLOPT_SSL_VERIFYPEER => 0, CURLOPT_SSL_VERIFYHOST => 0,)
```
dans votre curl appel

L'homme c'est une mauvaise réponse. Pourquoi voulez-vous supprimer presque tous les sécurité de la connexion??? Est-il étonnant que les choses sont donc en danger???
J'ai ajouté curl_setopt($ch,CURLOPT_SSL_VERIFYHOST, false); et j'ai obtenu le résultat désiré (peut-être, son insécurité)
A fonctionné pour moi aussi (peut-être, son insécurité)
Très précaire méthode: -1

OriginalL'auteur okey

C'est sans doute plus d'un commentaire, mais il ne rentre pas dans le bloc de commentaire. Pour tester votre connexion SSL/TLS:

D'abord, aller à DigiCert Autorité Racine De Confiance Des Certificats et télécharger "DigiCert SHA2 Extended Validation Serveur d'autorité de certification". Le nom de fichier est DigiCertSHA2ExtendedValidationServerCA.crt.

Deuxième, convertir la DER à PEM:

$ openssl x509 -inform DER -in DigiCertSHA2ExtendedValidationServerCA.crt
          -outform PEM -out DigiCert-CA.pem

Tiers, d'utiliser OpenSSL est s_client pour vérifier la connexion:

openssl s_client -connect github.com:443 -tls1 -servername github.com
        -CAfile DigiCert-CA.pem -ign_eof

La chose à remarquer est le résultat de la vérification à la fin:

Verify return code: 0 (ok)

J'ai eu un Bad Request. Je soupçonne que c'est parce que j'ai demandé à la racine du document. Vous devez brancher votre particulier des détails.

Enfin, vérifiez le nom de l'hôte. OpenSSL avant 1.0.2 ne pas effectuer la vérification du nom d'hôte, de sorte que vous obtenir de sauter à travers les cerceaux extra:

$ openssl s_client -connect github.com:443 -tls1 -servername github.com
          -CAfile DigiCert-CA.pem | openssl x509 -noout -text | grep "DNS:"
...
    DNS:github.com, DNS:www.github.com

Le mieux que je peux dire, il n'y a pas de problème avec le protocole SSL/TLS partie des choses de mon point de vue sur le monde. Il semble que le problème réside avec git.

Vous pouvez vérifier le DNS avec nslookup, mais je ne suis pas sûr que vous découvrez quelque chose d'utile:

$ nslookup
> set q=a
> github.com
Server:     172.16.1.10
Address:    172.16.1.10#53

Non-authoritative answer:
Name:   github.com
Address: 192.30.252.129

$ echo "GET /HTTP/1.0\r\n" | openssl s_client -connect github.com:443 -tls1 -servername github.com -CAfile DigiCert-CA.pem -ign_eof
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 Extended Validation Server CA
verify return:1
depth=0 businessCategory = Private Organization, 1.3.6.1.4.1.311.60.2.1.3 = US, 1.3.6.1.4.1.311.60.2.1.2 = Delaware, serialNumber = 5157550, street = 548 4th Street, postalCode = 94107, C = US, ST = California, L = San Francisco, O = "GitHub, Inc.", CN = github.com
verify return:1
---
Certificate chain
 0 s:/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/serialNumber=5157550/street=548 4th Street/postalCode=94107/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=github.com
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA
 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIF4DCCBMigAwIBAgIQDACTENIG2+M3VTWAEY3chzANBgkqhkiG9w0BAQsFADB1
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMTQwMgYDVQQDEytEaWdpQ2VydCBTSEEyIEV4dGVuZGVk
IFZhbGlkYXRpb24gU2VydmVyIENBMB4XDTE0MDQwODAwMDAwMFoXDTE2MDQxMjEy
MDAwMFowgfAxHTAbBgNVBA8MFFByaXZhdGUgT3JnYW5pemF0aW9uMRMwEQYLKwYB
BAGCNzwCAQMTAlVTMRkwFwYLKwYBBAGCNzwCAQITCERlbGF3YXJlMRAwDgYDVQQF
Ewc1MTU3NTUwMRcwFQYDVQQJEw41NDggNHRoIFN0cmVldDEOMAwGA1UEERMFOTQx
MDcxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1T
YW4gRnJhbmNpc2NvMRUwEwYDVQQKEwxHaXRIdWIsIEluYy4xEzARBgNVBAMTCmdp
dGh1Yi5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCx1Nw8r/3z
Tu3BZ63myyLot+KrKPL33GJwCNEMr9YWaiGwNksXDTZjBK6/6iBRlWVm8r+5TaQM
Kev1FbHoNbNwEJTVG1m0Jg/Wg1dZneF8Cd3gE8pNb0Obzc+HOhWnhd1mg+2TDP4r
bTgceYiQz61YGC1R0cKj8keMbzgJubjvTJMLy4OUh+rgo7XZe5trD0P5yu6ADSin
dvEl9ME1PPZ0rd5qM4J73P1LdqfC7vJqv6kkpl/nLnwO28N0c/p+xtjPYOs2ViG2
wYq4JIJNeCS66R2hiqeHvmYlab++O3JuT+DkhSUIsZGJuNZ0ZXabLE9iH6H6Or6c
JL+fyrDFwGeNAgMBAAGjggHuMIIB6jAfBgNVHSMEGDAWgBQ901Cl1qCt7vNKYApl
0yHU+PjWDzAdBgNVHQ4EFgQUakOQfTuYFHJSlTqqKApD+FF+06YwJQYDVR0RBB4w
HIIKZ2l0aHViLmNvbYIOd3d3LmdpdGh1Yi5jb20wDgYDVR0PAQH/BAQDAgWgMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjB1BgNVHR8EbjBsMDSgMqAwhi5o
dHRwOi8vY3JsMy5kaWdpY2VydC5jb20vc2hhMi1ldi1zZXJ2ZXItZzEuY3JsMDSg
MqAwhi5odHRwOi8vY3JsNC5kaWdpY2VydC5jb20vc2hhMi1ldi1zZXJ2ZXItZzEu
Y3JsMEIGA1UdIAQ7MDkwNwYJYIZIAYb9bAIBMCowKAYIKwYBBQUHAgEWHGh0dHBz
Oi8vd3d3LmRpZ2ljZXJ0LmNvbS9DUFMwgYgGCCsGAQUFBwEBBHwwejAkBggrBgEF
BQcwAYYYaHR0cDovL29jc3AuZGlnaWNlcnQuY29tMFIGCCsGAQUFBzAChkZodHRw
Oi8vY2FjZXJ0cy5kaWdpY2VydC5jb20vRGlnaUNlcnRTSEEyRXh0ZW5kZWRWYWxp
ZGF0aW9uU2VydmVyQ0EuY3J0MAwGA1UdEwEB/wQCMAAwDQYJKoZIhvcNAQELBQAD
ggEBAG/nbcuC8++QhwnXDxUiLIz+06scipbbXRJd0XjAMbD/RciJ9wiYUhcfTEsg
ZGpt21DXEL5+q/4vgNipSlhBaYFyGQiDm5IQTmIte0ZwQ26jUxMf4pOmI1v3kj43
FHU7uUskQS6lPUgND5nqHkKXxv6V2qtHmssrA9YNQMEK93ga2rWDpK21mUkgLviT
PB5sPdE7IzprOCp+Ynpf3RcFddAkXb6NqJoQRPrStMrv19C1dqUmJRwIQdhkkqev
ff6IQDlhC8BIMKmCNK33cEYDfDWROtW7JNgBvBTwww8jO1gyug8SbGZ6bZ3k8OV8
XX4C2NesiZcLYbc2n7B9O+63M2k=
-----END CERTIFICATE-----
subject=/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/serialNumber=5157550/street=548 4th Street/postalCode=94107/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=github.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA
---
No client certificate CA names sent
---
SSL handshake has read 3243 bytes and written 379 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : ECDHE-RSA-AES128-SHA
    Session-ID: 9364E0346A77ABA5087FEEDA3C59443B1C672B6F553AB7183B9F48C2D3DE34CB
    Session-ID-ctx: 
    Master-Key: 8B055C9CED9F517F7F3B1B49A4B517D478532503B3BB254BE4F11A2BD6445BE14444115797450604C6D6F17D169AA030
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1398213115
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---
HTTP/1.0 400 Bad request
Cache-Control: no-cache
Connection: close
Content-Type: text/html

<html><body><h1>400 Bad request</h1>
Your browser sent an invalid request.
</body></html>
closed

OriginalL'auteur jww

1

J'ai utilisé OpenDNS pour les âges, et ça marchait très bien jusqu'à aujourd'hui. J'observe le même problème avec SSL & github comme décrit dans le premier post.

Je temporaires remplacé OpenDNS serveur avec GoogleDNS et github fonctionne très bien. Cela permet d'isoler SSL problème de OpenDNS...

BTW, j'observe le même problème avec Ubuntu 12.04 & Debian 7.4, de sorte qu'il n'est pas lié à 11.04.
Ubuntu 14.04 fonctionne très bien...

Ubuntu 12.04.4: openssl s_client -connect github.com:443 -tls1 -servername github.com
rapports: Vérifier le code de retour: 20 (impossible d'obtenir locales certificat de l'émetteur)

Commande hôte -t github.com retourne l'une des adresses 192.30.252.128, 192.30.252.129, 192.30.252.130 ou 192.30.252.131. Je ne vois pas de différence dans github comportement (OpenDNS résolveur utilisé).

wget à Ubuntu 12.04.4 ne peut pas télécharger le certificat, c'est étrange:
```
$ wget -d https://www.digicert.com/CACerts/DigiCertSHA2ExtendedValidationServerCA.crt
DEBUG output created by Wget 1.13.4 on linux-gnu.

URI encoding = `UTF-8'
--2014-04-24 10:57:05--  https://www.digicert.com/CACerts/DigiCertSHA2ExtendedValidationServerCA.crt
Resolving www.digicert.com (www.digicert.com)... ::ffff:67.215.65.132, 64.78.193.234
Caching www.digicert.com => ::ffff:67.215.65.132 64.78.193.234
Connecting to www.digicert.com (www.digicert.com)|::ffff:67.215.65.132|:443... connected.
Created socket 3.
Releasing 0x099f77d8 (new refcount 1).
Initiating SSL handshake.
Handshake successful; connected socket 3 to SSL handle 0x099f7968
certificate:
  subject: /C=US/ST=California/L=San Francisco/O=OpenDNS, Inc./CN=*.opendns.com
  issuer:  /C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA
ERROR: no certificate subject alternative name matches
    requested host name `www.digicert.com'.
To connect to www.digicert.com insecurely, use `--no-check-certificate'.
Closed 3/SSL 0x099f7968
```
"impossible d'obtenir des locaux de l'émetteur d'un certificat..." - vous besoin d'ajouter CAfile à s_client, et la fourniture de la DigiCert SHA2 Extended Validation Serveur CA.

OriginalL'auteur user3563396
0

Pour répondre à votre commentaire à propos de /etc/resolv.conf être remplacé, vous devrez utiliser la resolveconf outil.

Supprimer la resolveconf informations saisies lors de l'installation
```
$ sudo resolvconf -d eth0.inet
```
Ajouter localhost informations
```
$ sudo vim /etc/resolvconf/resolv.conf.d/base
```
ajouter:
```
nameserver 8.8.8.8
```
Mise à jour resolvconf
```
$ sudo resolvconf -u
```
Vérifier resolveconf
```
$ cat /etc/resolv.conf
```
Devrait ressembler à:
```
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 8.8.8.8
```
OriginalL'auteur David Houde
0

ce que votre passage ne peut pas avoir un certificat ssl afin de
juste essayer http://yourdomain.com au lieu de https://yourdomain.com

il a travaillé pour moi

OriginalL'auteur Leela Krishna
0

De l'OMI, vous utilisez certains gratuit les réseaux wifi, nécessitant une connexion web.
Le wifi gratuit de l'authentification peut avoir expiré.

La connexion du site est à l'aide de DDN de rediriger votre demande à opendns.com.

Ce que vous devez faire est de simplement ouvrir n'importe quel site web dans le navigateur web et terminer l'authentification.

OriginalL'auteur Zetalog

Vous devez vous connecter pour publier un commentaire.