Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Сегодня я узнал...

С OpenSSL я взаимодействую довольно давно. Но обучиться новому всегда прикольно.


Во-первых, я узнал, что сертификаты, которые s_client получает параметром CAfile, используются не только для верификации серверных сертификатов, но и для построения цепочки сертификатов, которая при включенной клиентской аутентификации по сертификатам уходит на сервер. Неожиданно, но логично. Не сталкивался я с этим раньше, потому что сегодня цепочку из 3 суб-CA попалась мне в руки впервые. Ну ок, добрые люди рассказали, и дальше тестовый коннект из командной строки прошел.

И началось во-вторых. Скрипт на Perl, принимавший все пути к сертификатам в качестве параметров, коннектиться не желал ни в какую. Пока я не выяснил, что IO::Socket::SSL без параметра SSL_verify_mode, выставленного в ненулевое значение, игнорирует параметр SSL_ca_file.


После этого удивляться тому, что в поисковой форме автокомплит любезно предложил выбор между "IO::Socket::SSL" и "шапочка из фольги", уже не приходится.

This entry was originally posted at http://beldmit.dreamwidth.org/422736.html. Your comment? (comment count unavailable comments)
Tags: security, криптография, программирование
Subscribe

  • Немного лытдыбра

    Съездил в Прагу. Надо было отправить Галю в Москву закрыть программу 10 класса. Одну. Очень нервничал, что завернут, но девица благополучно доехала и…

  • Пасхальные каникулы

    В четверг выпил местного зелёного пива. Такой вот предпасхальный специалитет в Зелёный Четверг. Кому интересно про пасхальные традиции — в чешскую…

  • Про то, как я учу чешский

    Эпиграф. Японец хвастается: — Я много лет уцил русский язык! Тысяцу слов уцил-уцил! Две тысяци слов уцил-уцил! Все они у меня тут (стучит себя по…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 7 comments