Сегодня я узнал...
Oct. 2nd, 2014 08:36 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitС OpenSSL я взаимодействую довольно давно. Но обучиться новому всегда прикольно.
Во-первых, я узнал, что сертификаты, которые s_client получает параметром CAfile, используются не только для верификации серверных сертификатов, но и для построения цепочки сертификатов, которая при включенной клиентской аутентификации по сертификатам уходит на сервер. Неожиданно, но логично. Не сталкивался я с этим раньше, потому что сегодня цепочку из 3 суб-CA попалась мне в руки впервые. Ну ок, добрые люди рассказали, и дальше тестовый коннект из командной строки прошел.
И началось во-вторых. Скрипт на Perl, принимавший все пути к сертификатам в качестве параметров, коннектиться не желал ни в какую. Пока я не выяснил, что IO::Socket::SSL без параметра SSL_verify_mode, выставленного в ненулевое значение, игнорирует параметр SSL_ca_file.
После этого удивляться тому, что в поисковой форме автокомплит любезно предложил выбор между "IO::Socket::SSL" и "шапочка из фольги", уже не приходится.
Во-первых, я узнал, что сертификаты, которые s_client получает параметром CAfile, используются не только для верификации серверных сертификатов, но и для построения цепочки сертификатов, которая при включенной клиентской аутентификации по сертификатам уходит на сервер. Неожиданно, но логично. Не сталкивался я с этим раньше, потому что сегодня цепочку из 3 суб-CA попалась мне в руки впервые. Ну ок, добрые люди рассказали, и дальше тестовый коннект из командной строки прошел.
И началось во-вторых. Скрипт на Perl, принимавший все пути к сертификатам в качестве параметров, коннектиться не желал ни в какую. Пока я не выяснил, что IO::Socket::SSL без параметра SSL_verify_mode, выставленного в ненулевое значение, игнорирует параметр SSL_ca_file.
После этого удивляться тому, что в поисковой форме автокомплит любезно предложил выбор между "IO::Socket::SSL" и "шапочка из фольги", уже не приходится.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2014-10-02 06:01 pm (UTC)Трекер они довольно сильно прошерстили после Heartbleed ("Пожар способствовал ей много к украшенью", ага) и что-то закоммитили, а что-то уехало в частную ветку одного разработчика, и выплеснется в апстрим после 1.0.2.
no subject
Date: 2014-10-03 03:21 am (UTC)no subject
Date: 2014-10-03 08:06 am (UTC)no subject
Date: 2014-10-03 08:10 am (UTC)Во-вторых, очень сложно найти то что он не принял, потому придется сравнивать все отправленное с текущим состоянием.
И вообще с тех пор уже нового понаписали. Я тогда прошерстил все утилиты командной строки на предмет неописанных опций. И Хенсон это закоммитил. А сейчас уже новые появились. Вон -create_serial у ca.