个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
27
4
我在使用 IP 地址而不是 DNS 名称访问服务器时收到错误的证书错误。
这个功能是tls1.1新引入的吗?和 tls 1.2?如果有人指出 OpenSSL 代码失败并返回错误的证书错误,那就太好了。
最佳答案
Why do we get bad certificate error while accessing the server using IP address instead dns name?
这取决于发布/验证策略、用户代理和您使用的 OpenSSL 版本。因此,为了给您一个准确的答案,我们需要更多地了解您的配置。
一般来说,假设 www.example.com 的 IP 地址为 www.xxx .yyy.zzz。如果您通过 https://www.example.com/... 连接,则连接应该会成功。如果您使用浏览器通过 https://www.xxx.yyy.zzz/... 连接那么它应该总是失败。如果您通过 https://www.xxx.yyy.zzz/...使用另一个用户代理> 那么如果证书包含 www.xxx.yyy.zzz 应该会成功;否则失败。
颁发/验证政策
有两个机构主导发布/验证政策。他们是 CA/Browser Forum , 和 Internet Engineering Task Force (IETF) .
浏览器,如 Chrome、Firefox 和 Internet Explorer,请遵循 CA/B Baseline Requirements (CA/B BR)。
其他用户代理,如 cURL 和 Wget,遵循 IETF 发布和验证政策,如 RFC 5280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile和 RFC 6125, Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS) . RFC 比 CA/B 发布政策更宽松。
用户代理
不同的用户代理有不同的策略应用于 DNS 名称。有些人想要在 DNS 中找到的传统主机名,而其他人则允许 IP 地址。
浏览器只允许 Subject Alternate Name (SAN) 中的 DNS 主机名。如果 SAN 中缺少主机名,则匹配将不会发生。将服务器名称放在 Common Name 中是浪费时间和精力,因为浏览器需要 SAN 中的主机名。
浏览器不匹配 SAN 中的公共(public) IP 地址。他们有时会允许来自 RFC 1918, Address Allocation for Private Internets 的私有(private) IP .
其他用户代理允许在主题备用名称 (SAN) 中使用任何名称。它们还将匹配 Common Name (CN) 和 Subject Alternate Name (SAN) 中的名称。名称包括一个 DNS 名称,如 www.example.com、一个公共(public) IP 地址、一个私有(private) IP 地址,如 192.168.10.10 和本地名称,例如 localhost 和 localhost.localdomain。
OpenSSL 版本
OpenSSL 版本 1.0.2 及以下没有执行主机名验证。也就是说,您必须自己执行匹配。如果您自己没有执行主机名验证,那么看起来连接总是成功的。另见 Hostname Validation和 TLS Client在 OpenSSL wiki 上。
OpenSSL 1.1.0 及以上版本执行主机名匹配。如果您切换到 1.1.0,那么您应该开始遇到故障如果您没有执行自己的主机名匹配或者您没有严格遵守发布策略。
It would be good if someone would point out OpenSSL code where it fails and return the bad certificate error.
checkin 发生在 2015 年初,从那时起它们就可以在 Master(即 1.1.0-dev)中使用。该代码在 1.0.2 中也可用,但您必须执行特殊操作。这些例程在 1.0.1 或更低版本中不可用。另见 Hostname Validation在 OpenSSL 维基上。我没有 Git 签到,因为我现在使用的是 Windows 机器。
有关名称及其位置规则的更多信息,请访问 How do you sign Certificate Signing Request with your Certification Authority。和 How to create a self-signed certificate with openssl .至少还有四六个文件涵盖了它们,比如需要如何为 HTTP Strict Transport Security (HSTS) 呈现事物。和 Public Key Pinning with Overrides for HTTP .
关于ssl - 为什么通过 IP 地址而不是主机名连接到服务器时验证失败?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35604640/
27
4
0
SQLite、Content provider 和 Shared Preference 之间的所有已知区别。 但我想知道什么时候需要根据情况使用 SQLite 或 Content Provider 或
警告:我正在使用一个我无法完全控制的后端,所以我正在努力解决 Backbone 中的一些注意事项,这些注意事项可能在其他地方更好地解决......不幸的是,我别无选择,只能在这里处理它们! 所以,我的
我一整天都在挣扎。我的预输入搜索表达式与远程 json 数据完美配合。但是当我尝试使用相同的 json 数据作为预取数据时,建议为空。点击第一个标志后,我收到预定义消息“无法找到任何内容...”,结果
我正在制作一个模拟 NHL 选秀彩票的程序,其中屏幕右侧应该有一个 JTextField,并且在左侧绘制弹跳的选秀球。我创建了一个名为 Ball 的类,它实现了 Runnable,并在我的主 Draf
这个问题已经有答案了: How can I calculate a time span in Java and format the output? (18 个回答) 已关闭 9 年前。 这是我的代码
我有一个 ASP.NET Web API 应用程序在我的本地 IIS 实例上运行。 Web 应用程序配置有 CORS。我调用的 Web API 方法类似于: [POST("/API/{foo}/{ba
我将用户输入的时间和日期作为: DatePicker dp = (DatePicker) findViewById(R.id.datePicker); TimePicker tp = (TimePic
放宽“邻居”的标准是否足够,或者是否有其他标准行动可以采取? 最佳答案 如果所有相邻解决方案都是 Tabu,则听起来您的 Tabu 列表的大小太长或您的释放策略太严格。一个好的 Tabu 列表长度是
我正在阅读来自 cppreference 的代码示例: #include #include #include #include template void print_queue(T& q)
我快疯了,我试图理解工具提示的行为,但没有成功。 1. 第一个问题是当我尝试通过插件(按钮 1)在点击事件中使用它时 -> 如果您转到 Fiddle,您会在“内容”内看到该函数' 每次点击都会调用该属
我在功能组件中有以下代码: const [ folder, setFolder ] = useState([]); const folderData = useContext(FolderContex
我在使用预签名网址和 AFNetworking 3.0 从 S3 获取图像时遇到问题。我可以使用 NSMutableURLRequest 和 NSURLSession 获取图像,但是当我使用 AFHT
我正在使用 Oracle ojdbc 12 和 Java 8 处理 Oracle UCP 管理器的问题。当 UCP 池启动失败时,我希望关闭它创建的连接。 当池初始化期间遇到 ORA-02391:超过
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 9 年前。 Improve
引用这个plunker: https://plnkr.co/edit/GWsbdDWVvBYNMqyxzlLY?p=preview 我在 styles.css 文件和 src/app.ts 文件中指定
为什么我的条形这么细?我尝试将宽度设置为 1,它们变得非常厚。我不知道还能尝试什么。默认厚度为 0.8,这是应该的样子吗? import matplotlib.pyplot as plt import
当我编写时,查询按预期执行: SELECT id, day2.count - day1.count AS diff FROM day1 NATURAL JOIN day2; 但我真正想要的是右连接。当
我有以下时间数据: 0 08/01/16 13:07:46,335437 1 18/02/16 08:40:40,565575 2 14/01/16 22:2
一些背景知识 -我的 NodeJS 服务器在端口 3001 上运行,我的 React 应用程序在端口 3000 上运行。我在 React 应用程序 package.json 中设置了一个代理来代理对端
我面临着一个愚蠢的问题。我试图在我的 Angular 应用程序中延迟加载我的图像,我已经尝试过这个2: 但是他们都设置了 src attr 而不是 data-src,我在这里遗漏了什么吗?保留 d
我是一名优秀的程序员,十分优秀!