Comments 15
Забыли указать, что для Let's Encrypt этот шаблон и проверки не подходят.
Интересно, а что будет, если скомпрометируется и попадёт в списки отзывов сертификат удостоверяющего центра, выдавшего SSL-сертификаты для многих тысяч сайтов?
Можно сказать ничего не будет. Браузеры по-умолчанию не выполняют проверку отзыва сертификата.
Если вдруг приложение (можно включить для браузера) будет делать корректную проверку отзыва — то все выданные им сертификаты не будут проходить проверку.
Если вдруг приложение (можно включить для браузера) будет делать корректную проверку отзыва — то все выданные им сертификаты не будут проходить проверку.
То есть если я, к примеру, выкраду ключ COMODO RSA Domain Validation Secure Server CA (именно им, в частности, подписан сертификат habr.com), то я до 2029 года смогу развлекать себя любого рода MITMом, и никто ничего сделать не сможет?
Например, подниму публичный WiFi и буду пропускать через себя трафик https://www.sberbank.ru творчески его осмысливая и подправляя. Ага?
Например, подниму публичный WiFi и буду пропускать через себя трафик https://www.sberbank.ru творчески его осмысливая и подправляя. Ага?
Ну, будет сайтопокалипсис для тех, у кого включены проверки OCSP или CRL… Издержки централизации.
Автору — спасибо. Пойдет в копилку.
Оффтоп. В моей организации батальон бухгалтеров работают с разными государственными структурами, отправляют документы. Недавно как раз столкнулись с тем, что в одной из структур почему-то был отозван удостоверяющий сертификат и CRL, и пока не зашли на сайт и не увидели что там уже совсем другие файлы, не могли понять почему только что (пару недель назад) установленные комплекты ПО, ключей и сертификатов не принимаются. Такое бывает раз в жизни, наверное, но знай мы заранее, не потеряли бы полдня нервов и 2 бутылки часов.
А то ведь сразу начинается — «мне срочно надо, чтоб за 10 минут, и чтоб у всех тоже работало».
На Zabbix можно бы и вкинуть проверку ))
Оффтоп. В моей организации батальон бухгалтеров работают с разными государственными структурами, отправляют документы. Недавно как раз столкнулись с тем, что в одной из структур почему-то был отозван удостоверяющий сертификат и CRL, и пока не зашли на сайт и не увидели что там уже совсем другие файлы, не могли понять почему только что (пару недель назад) установленные комплекты ПО, ключей и сертификатов не принимаются. Такое бывает раз в жизни, наверное, но знай мы заранее, не потеряли бы полдня нервов и 2 бутылки часов.
А то ведь сразу начинается — «мне срочно надо, чтоб за 10 минут, и чтоб у всех тоже работало».
На Zabbix можно бы и вкинуть проверку ))
Сделали бы вы шаблон для заббикса с этими айтемами и триггерами и с ллд, цены бы вам не было. Ну и шаблон на share.zabbix.com залить.
добавьте в вызов openssl s_client параметр -servername для выбора правильного virtualhost
openssl s_client -connect ${domain}:443 -servername ${domain}
Спасибо, очень ценное замечание! Действительно, если на один IP установлено несколько сертификатов (SNI), то необходимо указывать опцию -servername для конкретизации домена. В противном случае сервер отправляет сертификат для дефолтного домена.
Подправил.
(legioner, к сожалению, моя карма не достаточно высокая, чтоб плюсануть вам)
Подправил.
(legioner, к сожалению, моя карма не достаточно высокая, чтоб плюсануть вам)
Sign up to leave a comment.
Проверка SSL-сертификатов на предмет отзыва