1. 首页
  2. 问答
  3. OpenSSL :: X509 ::显示错误域证书的证书

OpenSSL :: X509 ::显示错误域证书的证书

2015-05-14 109 views
1

我正在通过域列表循环查看a)是否有443个侦听器和b)收集ssl证书过期,签名算法和公用名。所有拥有443监听器的域名都会报告正确的SSL证书(与Chrome报告相匹配),但是,有一个域名无法正确报告 - myproair.com会为parkinsonsed.com报告证书 - 任何想法?OpenSSL :: X509 ::显示错误域证书的证书

# ssl cert lookup 
    begin 
    timeout(1) do 
     tcp_client = TCPSocket.new("#{instance["domain"]}", 443) 
     ssl_client = OpenSSL::SSL::SSLSocket.new(tcp_client) 
     ssl_client.connect 
     cert = OpenSSL::X509::Certificate.new(ssl_client.peer_cert) 
     ssl_client.sysclose 
     tcp_client.close 
     #http://ruby-doc.org/stdlib-2.0/libdoc/openssl/rdoc/OpenSSL/X509/Certificate.html 
     date = Date.parse((cert.not_after).to_s) 
     row.push("#{date.strftime('%F')} #{cert.signature_algorithm} #{cert.subject.to_a.select{|name, _, _| name == 'CN' }.first[1]}".downcase.ljust(57)) 
    end 
    rescue SocketError 
    row.push("down".ljust(57)) 
    rescue Errno::ECONNREFUSED 
    row.push("connection refused".ljust(57)) 
    rescue Errno::ECONNRESET 
    row.push("connection reset".ljust(57)) 
    rescue Timeout::Error 
    row.push("no 443 listener".ljust(57)) 
    rescue Exception => ex 
    row.push("error: #{ex.class}".ljust(57)) 
    end

更新:这是我的工作版本:

$ ruby --version 
ruby 2.0.0p481 (2014-05-08 revision 45883) [universal.x86_64-darwin14] 

$ openssl version 
OpenSSL 0.9.8zc 15 Oct 2014

我验证了SNI扩展在ClientHello使用发送OpenSSL的s_client-connect-tls1-servername选项。

来源

2015-05-14 Seth Reeser

+0

OpenSSL的0.9。 8只支持TLS 1.0(而不是1.1或1.2)。您应该自己构建OpenSSL,并将其安装在'/ usr/local'或'/ usr/local/ssl'中,并尽可能使用它。例如,你可以从命令行运行'/ usr/local/ssl/bin/openssl s_client ...'。请参阅OpenSSL wiki上的[编译和安装](http://wiki.openssl.org/index.php/Compilation_and_Installation)。我编写了Mac OS X指令,所以我知道它们的工作原理。 – jww

+0

相关:[Ruby OpenSSL :: SSL :: SSLContext SNI servername_cb Not Working](http://stackoverflow.com/q/30238304)。 – jww

回答

1

但是,有一个域不能正确报告 - myproair.com,它报告parkinsonsed.com的证书 - 任何想法?

它看起来像共享主机结合SSL是罪魁祸首。显然,parkinsonsed.com是服务器的默认站点。

您应该使用SNI来克服这些限制。 SNI可用于TLS 1.0及以上版本。另请参阅Server Name Indication support in Net::HTTP?

myproair.com,与SSLv3和无SNI

$ openssl s_client -ssl3 -connect myproair.com:443 | openssl x509 -text -noout | grep -A 1 -i name 
... 
X509v3 Subject Alternative Name: 
    DNS:parkinsonsed.com, DNS:www.parkinsonsed.com, DNS:test.parkinsonsed.com, DNS:dev.parkinsonsed.com

myproair.com,使用TLS 1.0和SNI

$ openssl s_client -tls1 -connect myproair.com:443 -servername myproair.com | openssl x509 -text -noout | grep -A 1 -i name 
... 
X509v3 Subject Alternative Name: 
    DNS:myproair.com, DNS:www.myproair.com, DNS:dev.myproair.com, DNS:test.myproair.com

来源

2015-05-14 13:27:16 jww

+0

感谢您的见解,@jww。我追加了OpenSSL :: SSL :: SSLSocket#hostname =“#{instance [”domain“]}”。new(tcp_client),我得到一个NoMethodError。我有OpenSSL 0.9.8zc 2014年10月15日和ruby 2.0.0p481(2014-05-08修订版45883)[universal.x86_64-darwin14] –

+0

我证实我从TLS 1.0和SNI的命令示例中获得了正确的SNI响应。现在我只是想弄清楚如何在上面的Ruby例子中设置适当的选项。 –

+1

感谢您的反馈,我已关闭并在此处打开一个新问题http://stackoverflow.com/questions/30244745/ruby-opensslsslsslcontext-sni-servername-cb-not-working –

相关问题

 相关问题