Почему сайт вообще без HTTPS — таки имеет какой-то левый нерабочий сертификат, и не только мой, но и другие?

Question

[VrencchBug]

Предыстория:
Купил сертификат. Ставлю его через апач.
Апач запускается без ошибок, но при попытке зайти все возможные клиенты выдают "Не защищено" и какой-то левый issuer сертификата: Internet Widgits Pty Ltd хотя я брал совершенно в другом месте, к тому же тот сертификат давно истек и зареган он тогда, когда я ничего не регал.

Ставлю бесплатный сертификат letsencryptовским certbot'ом, та же история.

История:
Тут я настраиваю апач обратно на 80 порт и отключаю SSL в нем, а потом и вовсе останавливаю его... И - о чудо - в браузерах при заходе https://сайт ничего не меняется!

Решил исследовать другие сайты, и свои и чужие, безо всякого HTTPS.
И что же?
На 3 из 5 сайтов - та же шляпа! Issuer'ы везде разные, где-то сертификат еще не истек, но, как видим, не работаем.
Лишь на 2 сайтах вместо шляпы выдается timeout или refused.

Отчего это?
Как правильно?

- "Правильная конфигурация SSL в апаче должна тупо перекрыть эту шляпу"? (но почему тогда ошибок не выдает, если она неправильная) Нужно ли ждать после того, как настроен SSL в apache и он перезагружен, или должно быть мгновенно?

- Или "это нужно как-то убрать в DNS"?

Как именно?

Answer 1

[Dimonchik]

начни с декомпозиции

все сведется к одному вопросу

ответ - ПРАВИЛЬНО ставить сертификат для КОНКРЕТНОГО домена

Comments

[VrencchBug]

Ну поясню для прапорщиков.
Есть домен. В DNS - IP сервера, который в данный момент вообще лежит. Совсем лежит, даже отключен.
Заходим по http://_domen - разумеется ERR_CONNECTION_REFUSED.
Однако заходим по https://_domen - и вот те раз - браузер ругается на нерабочий сертификат от Internet Widgits Pty Ltd
Вопрос - откуда он берется?

[Dimonchik]

отвечу для духов:

доменному провайдеру пох на твой сервер, он на рекламе зарабатывает, куда послать твой трафик всегда найдет
или аддон в браузере

чтобы смотреть куда че коннектится делай trace route, ping и соединяйся telnet а не браузером

еще вопросы есть?

[VrencchBug]

dimonchik2013, то же самое со всех браузеров, с разных IP и даже онлайн сервисов типа ssl checker
аддоны, трояны на клиенте - точно мимо
троян или неправильный конфиг апача - по идее тоже. апач вообще лежит. но браузеры и вообще все http-клиенты, поддерживающие https, при попытке захода по https-схеме видят сертификат у домена, который взялся ниоткуда.

Answer 2

[Александр]

https://habrahabr.ru/post/320164/

Comments

[VrencchBug]

Как-то мимо.
Проблема во всех браузерах со всех ip и даже онлайн-сервисах.

[VrencchBug]

Вообще ничего общего со статьей.

Answer 3

[CityCat4]

Widgits - это "сертификат по умолчанию" для демонстрации возможностей того, что https вообще работает. То, что есть люди, которые потом не убирают этот сертификат и не заменяют его на нормальный - это проблемы этих людей :)