Google.com NET::ERR_CERT_COMMON_NAME_INVALID

[DarkV]

Op een bepaalde PC geeft www.google.com steeds een NET::ERR_CERT_COMMON_NAME_INVALID

Als ik naar het certificaat ga kijken dan geeft dit echter;

Algemene naam (CN) www.google.com.au
Organisatie (O) <Maakt geen deel uit van certificaat>
Algemene naam (CN) DigiCert Global Root G1A
Uitgegeven op donderdag 11 november 2021 om 13:17:24
Verloopt op donderdag 11 november 2032 om 14:17:24
SHA-256-vingerafdruk E2 05 24 EA 14 2E DF D1 04 1C F4 D7 BA 59 3E B0 9B 81 A1 06 A1 32 D8 98 14 D8 C8 60 F6 5D 7A A5
SHA-1-vingerafdruk 81 C7 20 20 D9 CD F4 66 08 85 90 6A 7B 36 0A 0B AA B3 62 DE

Een ping naar www.google.com geeft 2a00400e:800::2004 wat een range is van Google dus op zich lijkt alles nog redelijk normaal... al blijft de fout bizar.

Het is trouwens de enige website die een probleem geeft, www.google.be als gewoon een willekeurige https gaat ook prima ?

Top op heden kan ik niets abnormaals vinden aan de PC... vraag blijft dus wat dit veroorzaakt.

[boran_blok]

Als het aan de PC zelf ligt denk ik meteen aan de hele SSL stack, heeft die PC de laatste windows en browser updates gehad?

[DarkV]

Geen idee... is niet mijn PC (heb daarstraks even remote gekeken).

Ik vind het bizar dat het slechts één host is en die gewoon een ander Google certificaat geeft (.com.au ipv. .com)

[CCatalyst]

Uitgegeven op donderdag 11 november 2021 om 13:17:24
Verloopt op donderdag 11 november 2032 om 14:17:24

Lol, is dat de geldigheidsduur van dat com.au certificaat? Leaf certificaten met zo'n lange geldigheidsduur mogen al sinds een hele tijd niet meer uitgegeven worden. Sinds twee jaar geleden is de max geldigheidsduur die afgesproken werd beperkt tot 1 jaar (en daarvoor was het een hele tijd 2 jaar). De fingerprints die je geeft zijn ook niet gekend in de certificate logs, die van DigiCert bevat zelfs geen enkele record van een google.com.au certificaat ooit uitgegeven door DigiCert. Hoeveel red flags moeten er nog zijn? Je hebt malware op de PC of er zit een MITM bezig op het netwerk.

Algemene naam (CN) DigiCert Global Root G1A

Er bestaat AFAIK ook geen legitieme root met de naam "DigiCert Global Root G1A" (lepe poging wel, want DigiCert is wel een legitieme uitgever en die hadden ooit wel een G1 root (zonder A) maar die is ondertussen al lang vervallen). Mocht er wel zo'n GA1 root zijn, dan is die iig niet opgenomen in de system roots van macOS (laatste versie, 13.0.1).

FWIW de issuer die ik zie op Google websites is die van Google Trust Services zelf: GTS Root R1 (met een intermediate er nog tussen).

[DarkV]

Je hebt malware op de PC of er zit een MITM bezig op het netwerk.

Dat vermoeden heb ik ook maar ik kan niet meteen iets vinden... en op het blijft bizar dat die enkel Google.com zou targetten.

In het weekend zie ik de PC misschien terug... tijd voor verder onderzoek dan.

[CCatalyst]

In het weekend zie ik de PC misschien terug... tijd voor verder onderzoek dan.

Ik kan me niet meteen herinneren, als Chrome een certificaat gepresenteerd krijgt waarvan hij de root niet heeft (aka "self-signed") EN de common name is tegelijk ook niet juist, welke foutmelding dat hij dan prioriteit geeft (COMMON_NAME_INVALID of CERT_AUTHORITY_INVALID). Ik weet wel als je de ene wegklikt dat je dan vervolgens de volgende foutmelding krijgt die je dan ook moet wegklikken, maar de volgorde herinner ik me niet.

Als CERT_AUTHORITY_INVALID eerst getoond wordt dan kan je uit het feit dat dit hier niet getoond wordt afleiden dat het systeem een of andere root "DigiCert Global Root G1A" geinstalleerd heeft, wat IMHO de bevestiging is van malware want legitieme 3rd party roots gaan zich niet gaan voordoen als DigiCert. Als hij de root niet heeft staan is MITM dan weer een grotere mogelijkheid (alhoewel malware nog steeds kan). Op basis hiervan kan je al gerichter zoeken naar de oorzaak.

[Splitter]

als je op de issue (met dat cert) gaat googlen (ahem) dan kom je op een aantal plaatsen uit dat de oplossing is om de proxy uit te zetten....
dus staat er in de browser (of os) een proxy actief ?

zie: https://support.mozilla.org/en-US/questions/1286644 & & https://support.cdn.mozilla.net/sv/questions/1323496

(en if so, of die proxy per ongeluk door de user is ingesteld of door malware... dat is een verdere zoektocht)