Fórumok
Sziasztok!
Ezen topic kapcsán játszadozom.
Az lenne a kérdésem, hogy az openssl s_server alparancsának hogyan tudnám megmondani, hogy ne ellenőrizze a kliens tanúsítványát?
A verify opciót nézegettem, de ahogy nézem, akkor is elhajtja a klienst, ha a -verify opciót 0-ra veszem.
Van esetleg erre egy jobb (működő) módszer, amit még nem ismerek?
Hozzászólások
Legjobb lenne, ha a kliensnek nem lenne semmilyen tanúsítványa, ez a default működés is.
Sajnos ezt nem tudom befolyásolni. Az eszköz küldi a belekódolt certet.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
És az milyen? Önaláírt, vagy van hozzá CA?
CA által kiállított... Megpróbálom kibányászni.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Ha van (Root)CA akkor annak az (önaláírt) cert-jét kellene pem-formában fájlba menteni, és a -CAfile filename opcióval átadni.
Ha nincs, akkor is fel lehet venni a rendszeren trusted certnek azt, amit küld, és az meg is oldja a problémát, ráadásul még mindig jobb megoldás, mint teljesen kikapcsolni az ellenőrzést.
https://www.openssl.org/docs/man1.0.2/man1/openssl-s_server.html
???
Aláírás _Franko_ miatt törölve.
neut @
Ez en-bloc a szerver tanúsítványhasználatát kapcsolja ki, nem?
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Kipróbáltam, és olyankor a szerver utasítja el a kliens kapcsolódását, ezzel: TLSv1 "Alert (Level: Fatal, Description: Handshake Failure)"
Cipher Spec: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x000039)
Cipher Spec: TLS_RSA_WITH_AES_256_CBC_SHA (0x000035)
Cipher Spec: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x000033)
Cipher Spec: TLS_RSA_WITH_AES_128_CBC_SHA (0x00002f)
Cipher Spec: TLS_RSA_WITH_RC4_128_SHA (0x000005)
Cipher Spec: TLS_RSA_WITH_RC4_128_MD5 (0x000004)
Cipher Spec: TLS_RSA_EXPORT1024_WITH_RC4_56_SHA (0x000064)
Cipher Spec: TLS_RSA_EXPORT1024_WITH_RC4_56_MD5 (0x000060)
Cipher Spec: TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x000003)
Ha jól emlékszem, az a panasz, hogy nincs közös cipher suite a kliens és a szerver között ilyenkor.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Nos, csináltam a TLS handshake-ről pcap-ot amit (kisebb nehézségek árán) sikerült megnyitnom wireshark-kal.
Sajnos az derült ki, hogy a kliens utasítja el a Server Hello után a kapcsolatot TLSv1 "Alert (Level: Fatal, Description: Unknown CA)" üzenettel utasítja el.
A doksiban benne van, hogy a Linksys SPA firmware-ében benne van a CA certje, és csak az az által aláírt provisioning szerverre hajlandó kapcsolódni. (Sajnos.)
Eredetileg azt hittem, hogy szerver utasítja el a kliens csatlakozását, de mint kiderült, sajnos nem.
... The vision and the mission lost,
For those with corporate souls ...
Slackware Linux current | 5.10.38-janos
Nem tudom mennyire lesz hasznos az info, de az is lehet, hogy a TLSv1 az OpenSSL-ben már egy ideje "ki van kapcsolva", mivel nem elég biztonságos.
A minimum protocol TLSv1.2
Itt valakinek hasonló a gondja: https://github.com/SoftEtherVPN/SoftEtherVPN/issues/1358