Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Сегодня я узнал...

С OpenSSL я взаимодействую довольно давно. Но обучиться новому всегда прикольно.


Во-первых, я узнал, что сертификаты, которые s_client получает параметром CAfile, используются не только для верификации серверных сертификатов, но и для построения цепочки сертификатов, которая при включенной клиентской аутентификации по сертификатам уходит на сервер. Неожиданно, но логично. Не сталкивался я с этим раньше, потому что сегодня цепочку из 3 суб-CA попалась мне в руки впервые. Ну ок, добрые люди рассказали, и дальше тестовый коннект из командной строки прошел.

И началось во-вторых. Скрипт на Perl, принимавший все пути к сертификатам в качестве параметров, коннектиться не желал ни в какую. Пока я не выяснил, что IO::Socket::SSL без параметра SSL_verify_mode, выставленного в ненулевое значение, игнорирует параметр SSL_ca_file.


После этого удивляться тому, что в поисковой форме автокомплит любезно предложил выбор между "IO::Socket::SSL" и "шапочка из фольги", уже не приходится.

This entry was originally posted at http://beldmit.dreamwidth.org/422736.html. Your comment? (comment count unavailable comments)
Tags: security, криптография, программирование
Subscribe

  • Загонная охота: завершение

    Пофиксил сегодня баг, о котором писал здесь. Ошибка оказалась не в асемблере, как я думал, а в формировании байтиков. При пересчёте длины новая…

  • Прикопаю ссылки

    Нашёл интересный русскоязычный программерский Телеграм-канал и англоязычный сайт его автора с частичным дублированием контента. This entry was…

  • Это была славная охота

    Только что поучаствовал в загонной охоте на вот этот баг. Программисты оценят. This entry was originally posted at…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 7 comments