Вопросы Теги

Почему не может openSSL проверять сертификат Google?

Относительное имя "www.bankofamerica.com.example.com". является только годным для использования теми, кто сказал Вашему компьютеру, что это - домен, "example.com". Это прибывает или из DHCP или человеком, кто устанавливает компьютер.

Для использования этого поставщик DHCP (компания или ISP) должен был бы создать эти явно подозрительные имена в их DNS.

В действительности они не должны потрудиться делать это для нападения на Вас (если бы они хотели к). Они - Ваш ISP. Они уже управляют Вашим DNS, и на самом деле они управляют Вашим трафиком также.

Они могли столь же легко и более надежно получить и перенаправить Ваш трафик путем получения и перенаправления трафика или угона всех запросов DNS, не только тех, которые ищут дурацкие относительные имена (такие как www.google.com.comcast.net.). Некоторые ISPs уже "нападают" на своих клиентов таким образом, не перенаправляя "таких доменных" ошибок от восходящих поставщиков DNS с их собственными страницами рекламы.

Так, необходимо доверять им во всяком случае, таким образом, можно также доверять им (и проверить сертификаты SSL!).

Наконец, терминальная точка на имени хоста повредит много веб-серверов. Например, серверы трилогии стека волнуются, если Вы переходите к "http://stackoverflow.com".

3
задан 28 November 2011 в 23:43
1 ответ

В другом дистрибутиве Linux, который я использую, команда naked -connect фактически не импортирует пакеты корневого CA, установленные в системе. Для этого вам нужно добавить -CApath / etc / ssl / wherever / , где путь - это расположение пакетов сертификатов корневого CA.

Без CAPath: 

CONNECTED(00000003)
depth=1 C = ZA, O = Thawte Consulting (Pty) Ltd., CN = Thawte SGC CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
   i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
 ---

С CAPath: 

CONNECTED(00000003)
depth=2 C = US, O = "VeriSign, Inc.", OU = Class 3 Public Primary Certification     Authority
verify return:1
depth=1 C = ZA, O = Thawte Consulting (Pty) Ltd., CN = Thawte SGC CA
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = mail.google.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
   i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
10
ответ дан 3 December 2019 в 04:53

Теги

Похожие вопросы