Error SSL por suplantación

Buenas tardes tinetnet,

Comprobamos que has aceptado la solución, te lo agradecemos mucho, es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Por nuestra parte quedamos a tu disposición ante cualquier duda o consulta que te pueda surgir.

Un saludo 

Victoria 

Hola tinetnet 

Si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que explicas como se ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Un saludo.

Nieves

Buenas tardes tinetnet,

Nos alegra que haya quedado solucionado, agradecemos tu aportación que sin duda es muy relevante para el conjunto de la Comunidad por la información que contiene.

¿Podemos ayudarte en algo más?.

Un saludo 

Victoria 

Hola tinetnet 

Agradecemos a Theliel sus aportaciones a la Comunidad Movistar, ¿Has podido seguir sus indicaciones? Por nuestra parte confirmamos que la línea de internet esta correcta. El cambio de contrato que has realizado es un tramite administrativo que solo afecta a la forma de facturarte pero que en ningún caso cambia la conexión a internet  ni afecta a tus certificados. Por nuestra parte dejamos el hilo abierto para que otros usuarios de la Comunidad que hayan estado en tu situación te puedan asesorar.

Un saludo.

María José

Buenas  tinetnet 

Ideas muchas, pero todas ellas implican tener delante el servidor y revisarlo entero de arriba abajo.

Desde el punto de vista del Router, lo único que importa es que tenga los puertos mapeados correctamente a la IP del servidor, nada más. Si estás usando puertos por defecto, el Router a veces los reserva para él mismo, y aunque se pueden modificar de un modo u otro en los diferentes HGU, tampoco es recomendable, más que nada por el peligro que supone exponer puertos por defecto a Internet, pero eso es entrar en otra cuestión diferente. El caso que desde el punto de vista del Router, si los puertos están bien mapeados y fluye el tráfico hacia dentro, se acabó el papel del Router y su verificación.

Las DNS lo mismo, puedes usar las DNS que quieras, ya sea en el propio Router o en el propio servidor. Es cierto que en este punto, si se usan el servicio conexión segura de Movistar pueden llegar a interceptarse, ya que por defecto el protocolo DNS es inseguro de naturaleza y se envía en plano. No obstante si el servicio está deshabilitado tampoco hay interacción alguna por parte ni de la red ni del Router. Además, siempre se puede usar en el servidor DoT/DoH haciendo totalmente inservible cualquier potencial interceptación DNS.

Al poner que apareció el certificado de Telefónica, no puedo sino pensar simplemente que no estabas llegando al servidor, sino al Router. Y eso es ya sea por un mal mapeo de puertos o que el servidor estaba reenviando el tráfico al Router de telefónica. Cualquiera de las dos causas implica que aparezca dicho certificado, no porque esté instalado en tu servidor, que sería cuanto menos preocupante por la seguridad de tu servidor, sino porque realmente estás accediendo al Router y no a tu servidor.

El por qué a esto es mirar tu servidor, o como digo, un error en el mapeo de puertos, puesto que el Router usa por defecto el 443/80 para él mismo, con lo que si usas midominio.es:443 por defecto se alcanza al Router (aunque se filtra por el Firewall)

Hola Theliel.

Lo del post "no lo has leído bien" no iba por usted, sino por el técnico de telefónica (Nacho). Al no poner nombres (mea culpa), supongo que se sintió aludido. Pero no era esa la intención, no era a usted a quien iba dirigido. Los post que ha puesto son por el contario, de sentido común, habría que decirle que incluso tiene más razón que un santo. Pero desgraciadamente hasta las cosas que podríamos tener como seguras y dogmáticas, en este caso, no han servido de nada.

Hechos:

A-1 de septiembre de 2023 cambio contrato de telefónica de fusión a Ilimitado. Hasta ese día todo funcionaba perfectamente.

B-2 de septiembre a las 2:14 de la madrugada, mi certificado de DigiCert desaparece del servidor, literal. En su lugar uno autofirmado de Telefónica (PKI Root TG Telefonica)

C-3 de Septiembre, el certificado de Telefónica desaparece también. A partir de ahí se intenta poner el propio. Resulta imposible. Da siempre error a la hora de renovarlo vía CSR. Si se expide uno propio autofirmado para salir del paso, tampoco sirve de nada. Da error de DNS (necesita una dirección IP) o de certificación (error de privacidad).

Estamos en bucle y no se puede (de momento) salir de allí.

El servidor hace 7 años que funciona perfectamente. Da servicios de BBS y WebDAV. La BBS funciona perfectamente (por el momento), el WebDAV, no.  Ahí está el problema, obvio.

Configuración:

Servidores DNS?, los mismos de siempre que han funcionado hasta septiembre

127.0......

8.8.......

Poner en su lugar los DNS de telefónica (80.58.61.25x...) no resuelve el problema. Estamos igual.

TCP/IP configurado en IPv4 de forma manual. Solo tiene conexión Ethernet. No hay WiFi.

192.168.1...lo de siempre.

Sistema Operativo: OS X. de 64 bits.

El WebDAV utiliza el motor de Rumpus, versión 8. Hasta el 2 septiembre, perfecto. Ahora es un juguete roto.

¿Alguna idea para resolver esto y salir del embrollo que me han generado los de Telefónica? Muchas gracias de antemano.

Hola tinetnet.

Hemos comprobado la conexión de tu línea, nos consta todo bien. ¿Podrías confirmarnos si has comprobado la información sobre los servidores DNS que indica Theliel, al que agradecemos su aportación, por favor? 

Un saludo.

Angela.

Buenas tinetnet 

En lo personal he leído perfectamente tu post, y te digo exactamente lo mismo. El Router ni la fibra interacciona con tu servidor. Desde el punto de vista del Router, el servidor no es más que cualquier otro dispositivo en la red, es agnóstico a él, tan solo se encarga de reenviar tráfico que le entre por Internet al puerto/ip que tenga configurado, nada más.

Nadie salvo quien tenga acceso directo al Servidor ha podido quitar el certificado instalado en él, es tu servidor, Movistar no tiene acceso a ello de ningún modo posible, quiera o no quiera. Es como decir que Movistar a accedido a tu PC sin que te dieses cuenta y te ha actualizado de Windows 10 a Windows 11, por ponerte un ejemplo. Pues simplemente no es posible. Tendrías el problema que fuese con rutas, con el caché del navegador o con cualquier otra historia, y por lo que dices del certificado que te salía, como te decía el servidor te estaba devolviendo el certificado del Router, no de él, por cualquier error que tuviese.

Respecto al nuevo error que te pueda aparecer, más de lo mismo. Si existe un problema de resolución DNS, que puede existir, poco o nada tiene que ver en ello Movistar o el Router, a menos que específicamente fuese uno de los servidores DNS de Movistar que tuviese algún problema concreto con un dominio concreto... lo cual aunque no es imposible, es complicado, y además muy sencillo de verificar con una sencilla consulta con nslookup usando diferentes servidores DNS

Saludos.

Hola de nuevo.

Vamos mejorando. Alguien ya ha quitado el certificado. Pero ahora la página web no se carga. No se resuelve bien el DNS y da mensaje de error por tiempo excesivo. (ERR_TIMED_OUT)

Por favor, resuelvan esto también porque si no, no se puede crear el archivo CSR para completar el proceso de renovación del certificado.

Muchas gracias.