Tham gia Đăng nhập
Điểm:0
avatar Ubuntu

Tại sao tùy chọn openssl -trusted_first hoạt động khác với biến môi trường X509_V_FLAG_TRUSTED_FIRST?

lá cờ us
Craig Constantine

Tôi có một tập lệnh perl chạy openssl để kiểm tra tính hợp lệ của chứng chỉ cục bộ. Tôi không muốn chỉ đặt một env var và bỏ đi. Cảm giác này giống như có gì đó buồn cười với cài đặt hoặc cấu hình openssl của tôi

Hệ thống là gì, các phiên bảnâ¦

Tôi đang xác thực cục bộ các chứng chỉ từ Letsencrypt. Đây là hệ thống 20.04/Focal. Openssl là OpenSSL 1.1.1f ngày 31 tháng 3 năm 2020 và vì vậy tôi hy vọng nó sẽ vui vẻ xác thực các chứng chỉ, ngay cả khi LE "ký chéo" chúng bằng chứng chỉ gốc ISRG mới.

Tuy nhiên, sau khi chứng chỉ X3 cũ hết hạn, những lỗi này bắt đầu…¦

xác minh openssl -verbose -mục đích sslserver -CAfile /path/redacted/chain.pem/path/redacted/cert.pem
C = US, O = Nhóm nghiên cứu bảo mật Internet, CN = ISRG Root X1. 
lỗi 2 khi tra cứu độ sâu 2: không thể lấy chứng chỉ của tổ chức phát hành. 
lỗi /path/redacted/cert.pem: xác minh không thành công

Điều này cảm thấy kỳ lạ. Một số đào khiến tôi tự hỏi về -trusted_first tùy chọn để xác minh openssl. Đây chính xác là những gì openssl sẽ khiếu nại nếu tùy chọn đầu tiên đáng tin cậy là không phải kích hoạt. Tuy nhiên, việc cố gắng kích hoạt tùy chọn đó một cách rõ ràng không ảnh hưởng gì:

xác minh openssl -trusted_first -verbose -mục đích sslserver -CAfile /path/redacted/chain.pem /path/redacted/cert.pem
C = US, O = Nhóm nghiên cứu bảo mật Internet, CN = ISRG Root X1
lỗi 2 khi tra cứu độ sâu 2: không thể lấy chứng chỉ nhà phát hành
lỗi /path/redacted/cert.pem: xác minh không thành công

Được rồi. tùy chọn đó Nên ở trên theo mặc định kể từ openssl 1.1.1 (đó là hệ thống này, xem ở trên). Vì vậy, việc tôi bao gồm nó một cách rõ ràng sẽ không tạo ra sự khác biệt nào.

Nhưng cuối cùng tôi đã thử chỉ định nó là một env var.Chờ cái gì? Tại sao việc chỉ định biến môi trường này khắc phục hành vi của openssl để tin tưởng vào chứng chỉ gốc đầu tiên mà nó tìm thấy trong chuỗi:

đặt X509_V_FLAG_TRUSTED_FIRST xác minh openssl -trusted_first -verbose -purpose sslserver -CAfile /path/redacted/chain.pem /path/redacted/cert.pem

â¦chạy với giá trị thoát bằng không.

thu nhỏ

Tôi không hiểu tại sao openssl không hoạt động (tm). Đây là bản cập nhật đầy đủ 20.04. Chứng chỉ gốc ISRG mới hơn được cài đặt trong /etc/ssl/certs/ISRG_Root_X1.pemcập nhật-ca-chứng chỉ hạnh phúc:

Cập nhật chứng chỉ trong /etc/ssl/certs...
0 được thêm vào, 0 được loại bỏ; xong.
Chạy hook trong /etc/ca-certificates/update.d...
xong.
247
0 + 0
Điểm:3
avatar Ubuntu
lá cờ us
RyanTM

Tôi khá chắc chắn rằng đó không phải là cách bạn đặt biến môi trường trước khi chạy lệnh.

https://www.gnu.org/software/bash/manual/html_node/The-Set-Builtin.html

Ví dụ: tôi nghĩ bạn muốn một cái gì đó như

X509_V_FLAG_TRUSTED_FIRST=1 openssl verify -trusted_first -verbose -purpose sslserver -CAfile /path/redacted/chain.pem /path/redacted/cert.pem

thay thế.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.