openssl s_server ne ellenőrizze a kliens certjét

Fórumok

Sziasztok!

Ezen topic kapcsán játszadozom.
Az lenne a kérdésem, hogy az openssl s_server alparancsának hogyan tudnám megmondani, hogy ne ellenőrizze a kliens tanúsítványát?
A verify opciót nézegettem, de ahogy nézem, akkor is elhajtja a klienst, ha a -verify opciót 0-ra veszem.
Van esetleg erre egy jobb (működő) módszer, amit még nem ismerek?

Hozzászólások

Szerkesztve: 2022. 05. 29., v – 18:16

Legjobb lenne, ha a kliensnek nem lenne semmilyen tanúsítványa, ez a default működés is.

Kipróbáltam, és olyankor a szerver utasítja el a kliens kapcsolódását, ezzel: TLSv1 "Alert (Level: Fatal, Description: Handshake Failure)"

            Cipher Spec: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x000039)
            Cipher Spec: TLS_RSA_WITH_AES_256_CBC_SHA (0x000035)
            Cipher Spec: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x000033)
            Cipher Spec: TLS_RSA_WITH_AES_128_CBC_SHA (0x00002f)
            Cipher Spec: TLS_RSA_WITH_RC4_128_SHA (0x000005)
            Cipher Spec: TLS_RSA_WITH_RC4_128_MD5 (0x000004)
            Cipher Spec: TLS_RSA_EXPORT1024_WITH_RC4_56_SHA (0x000064)
            Cipher Spec: TLS_RSA_EXPORT1024_WITH_RC4_56_MD5 (0x000060)
            Cipher Spec: TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x000003)

Ha jól emlékszem, az a panasz, hogy nincs közös cipher suite a kliens és a szerver között ilyenkor.

Nos, csináltam a TLS handshake-ről pcap-ot amit (kisebb nehézségek árán) sikerült megnyitnom wireshark-kal.
Sajnos az derült ki, hogy a kliens utasítja el a Server Hello után a kapcsolatot TLSv1 "Alert (Level: Fatal, Description: Unknown CA)" üzenettel utasítja el.
A doksiban benne van, hogy a Linksys SPA firmware-ében benne van a CA certje, és csak az az által aláírt provisioning szerverre hajlandó kapcsolódni. (Sajnos.)
Eredetileg azt hittem, hogy szerver utasítja el a kliens csatlakozását, de mint kiderült, sajnos nem.