Niepoprawny certyfikat SSL Paypal.com, wystawiony na BitPay.com

19

Próbuję kupić niektóre gry od GoG, kliknij Paypal, a Chrome wyświetli mi tę stronę:

wprowadź opis zdjęcia tutaj

Nie jestem do końca pewien, jak wymyślić, co się tutaj dzieje. Jestem użytkownikiem Bitcoin, więc moje bezpośrednie obawy, że moja sieć / komputer zostały w jakiś sposób zagrożone.

Każda pomoc doceniona.

Inne przeglądarki
nie ładują się w Chrome i telefonie iPhone przez Wi-Fi.
Ładuje się dobrze na PC w FF / IE i ładuje się dobrze na iPhone'a powyżej 4g

Kopia pliku .cer:
https://www.dropbox.com/s/wg5oczk8wgyjjcr/paypal_bitpay.cer

Co próbowałem

  • Ponownie zainstalowano Chrome (bez pomocy)
  • Uruchom pełne skanowanie w poszukiwaniu wirusów (bez zagrożeń)
  • Uruchom skanowanie Malwarebytes (bez zagrożeń)
  • Zaktualizowano router do najnowszego oprogramowania układowego
  • Zmieniono wszystkie hasła routera
  • Wyczyszczono stan SSL na komputerze
  • Całkowicie wyczyściłem pamięć podręczną Chrome

Problem nadal występuje!

Naprawiony

Zmieniono DNS na Google (8.8.8.8) i teraz działa. Wszelkie pomysły, dlaczego tak jest?

ssl paypal Tom Gullen
źródło
O ile nie pochodzisz ze strony BitPay, certyfikat, którego zrzut ekranu nie jest, nie jest certyfikatem SSL PayPal . Zawsze powinieneś ufać przeglądarce, gdy mówi ona, że ​​witryna, którą chcesz odwiedzić, nie jest bezpieczna, jeśli jest bezpiecznym połączeniem http.
Ramhound
@Ramhound, rozumiem, ale jestem naprawdę zdezorientowany, co może być przyczyną tego teraz
Tom Gullen
Wygląda na to, że jesteś zainfekowany złośliwym oprogramowaniem. Podałem aktualny certyfikat dla PayPal. Chrome korzysta z magazynu certyfikatów systemu operacyjnego, więc jeśli został zainfekowany nieprawidłowym certyfikatem, IE wyświetli ten sam certyfikat podczas wizyty w systemie PayPal
Ramhound
1
Jestem zainteresowany, jeśli IE wykryje ten sam certyfikat. Nie musisz nawet logować się na swoje konto. Wystarczy przejść do PayPal i kliknąć blokadę, szczegóły certyfikatu i jego ścieżkę powinny pojawić się w wyświetlonym oknie dialogowym.
Ramhound
1
Czy masz zainstalowane jakieś rozszerzenia, które poszły nie tak?
Kinnectus

Odpowiedzi:

23

Nie sądzę, że musimy to powiedzieć, ale nie akceptuję tego certyfikatu.

Albo coś jest nie tak z twoim połączeniem i masz człowieka pośrodku, albo coś poszło nie tak w twojej przeglądarce, albo jakiś serwer aplikacji w PayPal został przejęty.

Ponieważ stąd wszystko wygląda normalnie, a certyfikat jest wiarygodny, nie ufaj temu, co jest po drugiej stronie.

Czy możesz pobrać certyfikat i udostępnić go nam z ciekawości?

Czy używasz gdzieś proxy? Nawet jeśli uważasz, że tak nie jest, czy możesz sprawdzić konfigurację sieci i przeglądarki, aby to sprawdzić? Możliwe, że masz zainstalowane złośliwe oprogramowanie lub używasz nieuczciwego serwera proxy.

Ponieważ problem został rozwiązany przez zmianę serwera DNS na Google, zastanawiam się, jaki był twój serwer DNS. Być może zatruł pamięć podręczną DNS lub problemy z pamięcią RAM na serwerze mogły mieć pomieszane wpisy w pamięci podręcznej. Ale podejrzewam ten pierwszy: może twój dostawca usług internetowych doznał ataku. Dane wyjściowe poleceń hostlub digskierowane na serwer mogą być przydatne do debugowania.

dig www.paypal.com @8.8.8.8

dig www.paypal.com @(your DNS server)

host www.paypal.com 8.8.8.8

host www.paypal.com (your DNS server)

Ponadto: jeśli nawet twój iPhone miał podobne problemy, najprawdopodobniej problem dotyczy serwera DNS twojego dostawcy usług internetowych. Nie jestem pewien, jak skuteczne będzie ich ostrzeganie, ale może to być dobry pomysł.

Valmiky Arquissandas
źródło
Dzięki za odpowiedź, chętnie podzielę się z certyfikatem, ale nie jestem pewien, jak to zrobić. Nie świadomie korzystam z serwera proxy i ponownie nie jestem pewien, jak sprawdzić wszystko, aby to potwierdzić.
Tom Gullen
@TomGullen: przejdź do zakładki Szczegóły, powinieneś mieć przycisk „Eksportuj”. Następnie musisz go gdzieś przesłać (ludzie zazwyczaj podają publiczny link do Dropbox; to powinno działać).
Valmiky Arquissandas
Proszę bardzo: dropbox.com/s/wg5oczk8wgyjjcr/paypal_bitpay.cer
Tom Gullen
1
Certyfikat wydaje się być ważny; w rzeczywistości jest identyczny z używanym przez https://www.bitpay.com. Może być tak, że albo /etc/hostsplik został zmodyfikowany, aby zawierał www.paypal.comadres serwerów sieciowych Bitpay, lub że twoje serwery DNS (jak pokazano w ipconfigi nslookup www.paypal.comzwracają nieprawidłowe wyniki
grawity
To nie musi być DNS ISP, może to być również router WIFI.
Martin Ueding
6
  1. Na zaufanym komputerze innej firmy, który nie jest podłączony do połączenia internetowego, pobierz Ubuntu lub coś podobnego i klepnij go w pendrive lub DVD.
  2. Uruchom ten system operacyjny na żywo.
  3. Spróbuj uzyskać dostęp do PayPal z tego środowiska
  4. Uruchom dig paypal.comi opublikuj tutaj (nie wiem, czy digjest domyślnie dostępny)

Jeśli nadal występują problemy, prawdopodobnie manipulowano usługami DNS na routerze. Jest to możliwe, gdy interfejs sieciowy routera zawiera błędy, które pozwalają na zmianę ustawień bez uwierzytelniania.

Przykładowe dane wyjściowe do porównania:

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27146
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;paypal.com.                    IN      A

;; ANSWER SECTION:
paypal.com.             300     IN      A       66.211.169.66
paypal.com.             300     IN      A       66.211.169.3

;; Query time: 8 msec
;; SERVER: 108.59.15.5#53(108.59.15.5)
;; WHEN: Thu Jul 24 15:30:13 2014
;; MSG SIZE  rcvd: 60

Wreszcie przekierowanie nie ma zbyt dużego sensu: w końcu BitPay nie pobiera danych logowania PayPal.

Daniel B.
źródło
Dzięki za odpowiedź, zmieniłem mój DNS na Google (8.8.8.8) i wszystko wydaje się teraz w porządku. Wszelkie pomysły, dlaczego tak jest, jaki powód, dla którego to zrobił?
Tom Gullen,
To jest przerażające. Jaki był twój DNS wcześniej? Twój dostawca usług internetowych? Być może zatruli pamięć podręczną DNS lub mogą mieć problemy z pamięcią RAM, które pomieszały wpisy w pamięci podręcznej. Ale podejrzewam ten pierwszy.
Valmiky Arquissandas
Domyślnie zakładam, że to mój dostawca usług internetowych (Virgin Media).
Tom Gullen
(Zaktualizowałem swoją odpowiedź powyżej)
Valmiky Arquissandas
1
Tak, o tym: v3.co.uk/v3-uk/news/2356520/... :)
Valmiky Arquissandas