Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Сегодня я узнал...

С OpenSSL я взаимодействую довольно давно. Но обучиться новому всегда прикольно.


Во-первых, я узнал, что сертификаты, которые s_client получает параметром CAfile, используются не только для верификации серверных сертификатов, но и для построения цепочки сертификатов, которая при включенной клиентской аутентификации по сертификатам уходит на сервер. Неожиданно, но логично. Не сталкивался я с этим раньше, потому что сегодня цепочку из 3 суб-CA попалась мне в руки впервые. Ну ок, добрые люди рассказали, и дальше тестовый коннект из командной строки прошел.

И началось во-вторых. Скрипт на Perl, принимавший все пути к сертификатам в качестве параметров, коннектиться не желал ни в какую. Пока я не выяснил, что IO::Socket::SSL без параметра SSL_verify_mode, выставленного в ненулевое значение, игнорирует параметр SSL_ca_file.


После этого удивляться тому, что в поисковой форме автокомплит любезно предложил выбор между "IO::Socket::SSL" и "шапочка из фольги", уже не приходится.

This entry was originally posted at http://beldmit.dreamwidth.org/422736.html. Your comment? (comment count unavailable comments)
Tags: security, криптография, программирование
Subscribe

  • «Библия ядоносного дерева»

    Дочитал Барбару Кингсолвер, «Библию ядоносного дерева». Читаю сейчас сравнительно мелкими порциями, и случайно попал в точку перегиба. Дальше…

  • Мировоззренческое

    Я давно хочу нарисовать картинку. Один человек переходит пустую улицу на красный, другой ждёт зелёного. Первый про второго: Он что, думает, что будет…

  • «Тревожные люди» Бакмана

    Только упрямство и доверие к Нининому вкусу заставило меня продраться через первую половину «Тревожных людей» Бакмана. Ощущение, что книга написана…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 7 comments