Firefox показывает некоторые HTTPS сайты как недоверенные. MITM атака провайдера?

Question

[Константин]

Здравствуйте.
В последние 1-2 недели стал замечать в браузере Firefox, что после открытия разных https сайтов вылазит сообщение о том, что сертификат не является доверенным, т.к. он может быть самоподписным и невозможно проверить издателя. Как то так. Через некоторое время (5-10 минут) сайт через https начинает корректно работать.

Час назад открыл ссылку https://2cyr.com/decode/?lang=ru и обнаружил тоже самое. Решил для интереса сохранить сертификат и цепочку, чтобы сравнить потом.
Через 5 минут сайт заработал и тоже сохранил сертификат и цепочку.
На моё удивление в цепочке в не работающем варианте отсутствовал корневой издатель "DST Root CA X3".

В не работающем варианте:
5ko.fr -> R3

В работающем:
5ko.fr -> R3 -> DST Root CA X3

Подскажите пожалуйста, на что это может быть похоже?
mitm атака?

Файл "5ko-fr.pem" в обоих вариантах одинаковый:

А вот "5ko-fr-chain.pem" разный
Не работающий "5ko-fr-chain.pem":

-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----

Работающий "5ko-fr-chain.pem":

-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----

Answer 1

[Константин]

Решение: проблема с OCSP запросом.
хост ocsp сервера: r3.o.lencr.org
Проблема воспроизводится в следующих двух случаях:
1) Если заблокировать днс запрос с разрешением хоста r3.o.lencr.org (в данном случае соединение к локальному ip днс сервера 192.168.1.1 на порт 53)
2) Если заблокировать соединение к хосту r3.o.lencr.org на порт 80

Answer 2

[galaxy]

Из-за кросс-подписи, скорее всего - https://letsencrypt.org/certificates/

UPD: впрочем, я, видимо, неправ, это тут ни при чем

Comments

[galaxy]

Еще идея наугад: проверьте, не фейлятся ли в первый раз OSCP -запросы

[Константин]

galaxy, подскажите, как это можно проверить?
Я как раз фаервол поставил недавно. Возможно и такое.

[galaxy]

Константин, Wireshark. Там есть фильтр ocsp

[Константин]

galaxy, спасибо, да действительно проблема с OCSP запросом была. Только лог фаервола показывает, что блокировок не было в момент проблемы. Возможно глюк, не знаю точно.
хост ocsp сервера: r3.o.lencr.org
Проблема воспроизводится в следующих двух случаях:
1) Если заблокировать днс запрос с разрешением хоста r3.o.lencr.org (в данном случае соединение к локальному ip днс сервера 192.168.1.1 на порт 53)
2) Если заблокировать соединение к хосту r3.o.lencr.org на порт 80

[Константин]

смущает то, что это разовые глюки

Answer 3

[Mrkliner]

Если не хочешь заморачиваться и у тебя два браузера то открой не в firefox, а в другом. Это проще всего. Или убери настройко в firefox "Только HTTPS", и всё

Comments

[Константин]

спасибо, проблема оказалась с ocsp запросом

Answer 4

[Владимир Дубровин]

Скорей всего, у вас нет доверию к сертификатам ISRG Root X1 / ISRG Root X2, обновите системный список корневых сертификатов или вручную установите корневые сертификаты Let's encrypt в корневые доверенные.

DST Root CA X3 экспайрится в сентябре, поэтому для новых сертификатов его больше не используют.

Comments

[Константин]

спасибо, проблема оказалась с ocsp запросом