Certificado de nic.es caducado al acceder por IPv6

Miguel32 8 septiembre 2023 22:11 ✎

⋮

El certificado de la web de nic.es me sale caducado.

Captura de pantalla 2023-09-08 a las 22.15.53

Edit: Parece que el problema se produce cuando se accede a través de IPv6. Probablemente tienen algo mal configurado.

*   Trying [2001:67c:21cc:313::15]:443...
* Connected to www.nic.es (2001:67c:21cc:313::15) port 443 (#0)
* ALPN: offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* (304) (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

*   Trying 194.69.254.54:443...
* Connected to www.nic.es (194.69.254.54) port 443 (#0)
* ALPN: offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* (304) (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN: server accepted http/1.1
* Server certificate:
*  subject: C=ES; ST=Madrid; O=ENTIDAD PUBLICA EMPRESARIAL RED ESMP; CN=nic.es
*  start date: Sep  6 00:00:00 2023 GMT
*  expire date: Sep  5 23:59:59 2024 GMT
*  subjectAltName: host "www.nic.es" matched cert's "www.nic.es"
*  issuer: C=NL; O=GEANT Vereniging; CN=GEANT OV RSA CA 4
*  SSL certificate verify ok.
* using HTTP/1.1
> HEAD / HTTP/1.1
> Host: www.nic.es
> User-Agent: curl/8.1.2
> Accept: */*
> 
< HTTP/1.1 302 Found
HTTP/1.1 302 Found
< Date: Sat, 09 Sep 2023 14:45:08 GMT
Date: Sat, 09 Sep 2023 14:45:08 GMT
< Server: HTTP
Server: HTTP
< Strict-Transport-Security: max-age=15768000; includeSubDomains
Strict-Transport-Security: max-age=15768000; includeSubDomains
< X-Frame-Options: SAMEORIGIN
X-Frame-Options: SAMEORIGIN
< Location: https://www.dominios.es/dominios/
Location: https://www.dominios.es/dominios/
< Content-Type: text/html; charset=iso-8859-1
Content-Type: text/html; charset=iso-8859-1

< 
* Connection #0 to host www.nic.es left intact

Edit2: Les he enviado un correo.

Lumito 8 septiembre 2023 22:15

⋮

A mí me va perfecto, no sé, comprueba tu navegador y hora. ¿Nos puedes proporcionar más información acerca del mensaje de error? Gracias.

✖

Miguel32 8 septiembre 2023 22:21

⋮

Pues a veces entra, otras no.

kailla 8 septiembre 2023 22:27

⋮

Eso es que tendrán algún servidor sin actualizar.

De todas formas esa web me redirige a dominios.es sin problemas.

✖

Miguel32 8 septiembre 2023 22:36

⋮

Pues he desactivado IPv6 en el router y el certificado aparece renovado con fecha de hoy. He vuelto activar IPv6 y certificado caducado. También puede ser casualidad.

✖

lhacc 8 septiembre 2023 23:48 ✎

-2

⋮

[contenido retirado]

✖

aeri 8 septiembre 2023 23:54

⋮

Nunca hay que desactivar IPv6 para evitar problemas, lo que pasa simplemente es que tienen mal configurado el servidor web.

Aokromes 9 septiembre 2023 11:42

⋮

hay que quejarse de que tienen el certificado desactualizado para que arreglen correctamente los problemas.

skgsergio 9 septiembre 2023 14:02

-1

⋮

Soberana gilipollez. Este problema no es de IPv6, es de servidores con el certificado no actualizado.

En el tiempo que llevo con IPv6, tanto en el pasado con túneles de SixxS, HE, y ahora nativo he tenido la increíble cantidad de 0 problemas causados por IPv6. Algún software de mierda mal hecho si pero ya.

Que problema tiene IPv6, ¿a parte de la negativa de gente que quiere seguir viviendo con lámparas de gas por miedo a la electricidad?

kailla 8 septiembre 2023 23:50

⋮

Si tenías IPv6 estabas conectándote a otro servidor o como mínimo a otro balanceador:

Si a ello le sumamos que IPv6 sigue siendo anecdótico es muy probable que aún no cuente con el certificado renovado por no ser una prioridad.

✖

Aokromes 9 septiembre 2023 11:43

⋮

yo llame a 2 organizaciones por que sus servidores IPv6 o no funcionaban (existian pero estaban caidos) o tenian el certificado caducado xd

skgsergio 9 septiembre 2023 14:53

⋮

Si a ello le sumamos que IPv6 sigue siendo anecdótico es muy probable que aún no cuente con el certificado renovado por no ser una prioridad.

O simplemente que son bastante torpes y ni se acordaron. Ya que perfectamente podrian tener el mismo LB/servidor escuchando en IPv4 e IPv6 y se ahorrarían el problema.

De todas maneras no es la primera vez que veo a una administración con varios servidores en IPv4 para un dominio (con varios A en el DNS para que haga RR) y uno de ellos no tiene el certificado actualizado y a ratos da error a ratos funciona, dependiendo donde caigas.

Es lo que tienes cuando estas cosas no se automatizan o se hacen (y no se mantienen actualizadas!) guias de procedimientos manuales.