flo2cash.com openssl의 체인을 확인하려고 하는데 다음이 제공됩니다.
openssl s_client -showcerts -connect flo2cash.com:443
CONNECTED(00000003) depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA depth=0 OU = Domain Control Validated, OU = Hosted by FreeParking Ltd, OU = COMODO SSL, CN = flo2cash.com
루트가 "AddTrust 외부 CA 루트"임을 나타냄 Chrome과 Firefox 모두 "COMODO RSA 인증 기관"을 루트로 하는 인증서가 있는 체인의 3개 수준만 표시합니다.
체인의 마지막 인증서를 확인하면 다음과 같은 결과가 나타납니다.
subject= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority issuer= /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root notBefore=May 30 10:48:38 2000 GMT notAfter=May 30 10:48:38 2020 GMT
이 인증서는 정말 오래되었습니다.
다음은 내 컴퓨터(최신 버전으로 패치된 Fedora 25)와 브라우저에서 찾을 수 있는 CA 번들에 포함된 내용입니다.
subject= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority notBefore=Jan 19 00:00:00 2010 GMT notAfter=Jan 18 23:59:59 2038 GMT
그 오래된 인증서는 어딘가에서 오는 것이 틀림없습니다.
답변1
내 Mint 노트북에는오래된자격증:
$ openssl x509 -noout -subject -issuer -in /usr/share/ca-certificates/mozilla/COMODO_RSA_Certification_Authority.crt
subject= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
openssl s_clientCOMODO RSA Certification Authority위의 루트가 서명한 가장 우수한 CA 인증서를 반환합니다 .
$ openssl s_client -connect flo2cash.com:443
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = Hosted by FreeParking Ltd, OU = COMODO SSL, CN = flo2cash.com
verify return:1
---
/etc/ca-certificates.conf위의 루트 CA 인증서( mozilla/AddTrust_External_Root.crt) 가 포함된 줄을 편집 하고 선택 취소합니다.
#
# line begins with # is comment.
# line begins with ! is certificate filename to be deselected.
#
mozilla/ACCVRAIZ1.crt
mozilla/ACEDICOM_Root.crt
!mozilla/AC_Raíz_Certicámara_S.A..crt
mozilla/Actalis_Authentication_Root_CA.crt
!mozilla/AddTrust_External_Root.crt
mozilla/AddTrust_Low-Value_Services_Root.crt
mozilla/AddTrust_Public_Services_Root.crt
mozilla/AddTrust_Qualified_Certificates_Root.crt
update-ca-certificates캐시를 다시 작성하려면 실행하세요 .
그 후에는 브라우저와 동일한 체인을 얻게 됩니다.
$ openssl s_client -connect flo2cash.com:443 -showcerts
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = Hosted by FreeParking Ltd, OU = COMODO SSL, CN = flo2cash.com
verify return:1
---
클라이언트가 최종 엔터티 인증서에서 루트 CA 인증서까지 구축하는 경로는 클라이언트 내에 프로그래밍된 논리에 따라 달라집니다. 이는 사양에 정의되어 있지 않으므로 각 특정 클라이언트 개발자의 해석에 따라 달라질 수 있습니다.
OpenSSL에서 두 루트 CA 인증서를 모두 활성화하면 표시된 첫 번째 경로가 선택됩니다. 귀하의 브라우저는 다르게 선택했습니다. 왜냐하면 가능하기 때문입니다.
답변2
어떤 오래된 인증서인가요? 그만큼다리Comodo RSA 인증 기관 인증서 AddTrust 외부 CA 루트에서 서버가 전송합니다. 그만큼뿌리AddTrust 외부 인증서시스템의 신뢰 저장소에서 가져와야 합니다. 이는 서버에 의해 전송되지 않으며 OpenSSL인 경우에도 서버에서 수신된 루트를 올바르게 삭제하고 로컬 신뢰 저장소에서 찾은 루트만 신뢰합니다. 나는 Fedora를 사용하지 않지만 내 CentOS에는 Fedora가 설치되어 있습니다 /etc/pki/tls/certs/ca-bundle.crt( ca-certificates그리고 아마도 RHEL도 마찬가지일 것입니다).
예, 이 AddTrust 루트는 아직 활성화된 이전 CA 루트 중 하나입니다. 브릿지 인증서가 2000-05-30 10:48:38 이전에는 상위 인증서와 완벽하게 (그리고 비현실적으로) 정렬되지 않았지만, 나는 그것이 날짜가 지난 것이라고 확신합니다. SHA384로 서명되었지만 FIPS180-2는 2002년까지 게시되지 않았으며 훨씬 덜 광범위하게 구현되었습니다. (예: Windows XP는 2008년 SP3까지 SHA2 서명 인증서를 구현하지 않았습니다.)
Comodo RSA의 자체 루트2010-01-19 00:00:00 이전에는 없었지만 날짜가 소급되었거나 한동안 선반에 보관되었을 수도 있습니다. 또한 SHA384로 서명되었지만 AIR에서는 2014년 초(NIST의 두 번째 시도 기한)까지 SHA2 발급 및 체인을 시작하지 않은 공용 CA가 없었으며 CABforum과 일부 주요 브라우저가 실제로 SHA1에 대해 불평하기 시작한 2015년 말까지는 대부분이 아니었습니다. 이 스펙트럼에서 Comodo가 어디에 속했는지 기억이 나지 않지만 시간이 지남에 따라 쉽게 추적할 수 있는 하나의 신뢰 저장소인 Oracle(이전 Sun Java)은 comodorsaca2015-06년 8u51까지 추가되지 않았습니다. ( addtrustexternalca뒤에 있었어적어도2008-06년에는 6u7로; 그 이전 데이터는 없습니다.)
Comodo 웹사이트의 적어도 한 부분3년 이내에 만료되는 경우에도 AddTrust에 대한 브리지 인증서를 통해 신뢰 체인이 여전히 올바른 것으로 표시됩니다.