我正在通过域列表循环查看a)是否有443个侦听器和b)收集ssl证书过期,签名算法和公用名。所有拥有443监听器的域名都会报告正确的SSL证书(与Chrome报告相匹配),但是,有一个域名无法正确报告 - myproair.com会为parkinsonsed.com报告证书 - 任何想法?OpenSSL :: X509 ::显示错误域证书的证书
# ssl cert lookup
begin
timeout(1) do
tcp_client = TCPSocket.new("#{instance["domain"]}", 443)
ssl_client = OpenSSL::SSL::SSLSocket.new(tcp_client)
ssl_client.connect
cert = OpenSSL::X509::Certificate.new(ssl_client.peer_cert)
ssl_client.sysclose
tcp_client.close
#http://ruby-doc.org/stdlib-2.0/libdoc/openssl/rdoc/OpenSSL/X509/Certificate.html
date = Date.parse((cert.not_after).to_s)
row.push("#{date.strftime('%F')} #{cert.signature_algorithm} #{cert.subject.to_a.select{|name, _, _| name == 'CN' }.first[1]}".downcase.ljust(57))
end
rescue SocketError
row.push("down".ljust(57))
rescue Errno::ECONNREFUSED
row.push("connection refused".ljust(57))
rescue Errno::ECONNRESET
row.push("connection reset".ljust(57))
rescue Timeout::Error
row.push("no 443 listener".ljust(57))
rescue Exception => ex
row.push("error: #{ex.class}".ljust(57))
end
更新:这是我的工作版本:
$ ruby --version
ruby 2.0.0p481 (2014-05-08 revision 45883) [universal.x86_64-darwin14]
$ openssl version
OpenSSL 0.9.8zc 15 Oct 2014
我验证了SNI扩展在ClientHello
使用发送OpenSSL的s_client
与-connect
,-tls1
和-servername
选项。
OpenSSL的0.9。 8只支持TLS 1.0(而不是1.1或1.2)。您应该自己构建OpenSSL,并将其安装在'/ usr/local'或'/ usr/local/ssl'中,并尽可能使用它。例如,你可以从命令行运行'/ usr/local/ssl/bin/openssl s_client ...'。请参阅OpenSSL wiki上的[编译和安装](http://wiki.openssl.org/index.php/Compilation_and_Installation)。我编写了Mac OS X指令,所以我知道它们的工作原理。 – jww
相关:[Ruby OpenSSL :: SSL :: SSLContext SNI servername_cb Not Working](http://stackoverflow.com/q/30238304)。 – jww