lunes, 29 de octubre de 2012
Los certificados de menos de 1024 bits e Internet Explorer
Si, otra entrada mas dedicada a microsoft. Hace unas semanas, una de nuestras aplicaciones, que está corriendo en un servidor https empezó a dar problemas.
No a todo el mundo, solo a unos cuantos. Ni siquiera a todos los que tenian Explorer 9, tambien algunos con Explorer 8. Y otra gente funcionaba bien.
El problema tal como lo veian los clientes era de lo mas curioso: iban a su página de login (http) desde donde se les redirigía a la página de login de verdad, ya por https, y en el camino el navegador se quedaba colgado. Ningun mensaje de error, ni en cliente ni en servidor.
Hoy, tras unos ratos intentando localizar el problema, finalmente lo hemos encontrado: Hace unos meses Microsoft lanzó un aviso sobre la inseguridad de los certificados de menos de 1024 bits y aparentemente en alguna de las actualizaciones de Windows Update liberaron el parche KB2661254.
Efectivamente, el certificado que tenia el servidor (autofirmado) era de 512 bits, aparentemente el valor por defecto cuando generé las claves, pero... hombre!, ¡no es para tomárselo asi!. Y al menos, podían dar un aviso de error indicando lo que estaba pasando. Lo de dejar frito el navegador sin pantallazo azul ni nada no está bien.
Asi que ya lo sabes: si te esta dando un problema de este tipo es probable que tu error sea el mismo que el nuestro, y no parece que este documentado por muchos sitios. Será que éramos los unicos que teníamos este tipo de certificado...