个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我尝试让 PHP 接受 Chrome 接受的证书。
我创建了以下最小复制示例:
echo OPENSSL_VERSION_TEXT;
require 'vendor/autoload.php';
$fetch = new \ParagonIE\Certainty\RemoteFetch('/tmp/');
$latestBundle = $fetch->getLatestBundle();
$context = stream_context_create(
[
'ssl' => array(
'cafile' => $latestBundle->getFilePath(),
'SNI_enabled' => true,
)
]
);
$url = 'https://example.com:8080/x/y';
echo file_get_contents($url . '?wsdl', false, $context);
我正在使用 https://github.com/paragonie/certainty获取最新的 CAcerts。
出现以下错误
OpenSSL 1.0.2g 1 Mar 2016
PHP Warning: file_get_contents():
SSL operation failed with code 1. OpenSSL Error messages:
error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert
internal error in /tmp/test/test.php on line 20
PHP Warning: file_get_contents(): Failed to enable crypto in
/tmp/test/test.php on line 20
PHP Warning: file_get_contents(https://example.com:8080/x/y?
wsdl): failed to open stream: operation failed in
/tmp/test/test.php on line 20
这里出了什么问题?
很遗憾,我无法共享该 URL(无论如何它都在防火墙后面)。
使用 curl --insecure 访问它是可行的 - 但我真的很想正确验证 CA 证书
编辑SSLyze 输出如下:
SCAN RESULTS FOR example.COM:8080 - > ------------------------------------------------------ * TLSV1_1 Cipher Suites: Forward Secrecy OK - Supported RC4 OK - Not Supported Preferred: TLS_DHE_RSA_WITH_AES_256_CBC_SHA 256 bits Accepted: TLS_RSA_WITH_AES_256_CBC_SHA 256 bits TLS_DH_anon_WITH_AES_256_CBC_SHA ANONYMOUS TLS_DHE_RSA_WITH_AES_256_CBC_SHA 256 bits Undefined - An unexpected error happened: TLS_DHE_DSS_WITH_AES_256_CBC_SHA OpenSSLError - error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error * TLSV1 Cipher Suites: Forward Secrecy OK - Supported RC4 OK - Not Supported Preferred: TLS_DHE_RSA_WITH_AES_256_CBC_SHA 256 bits Accepted: TLS_RSA_WITH_AES_256_CBC_SHA 256 bits TLS_DH_anon_WITH_AES_256_CBC_SHA ANONYMOUS TLS_DHE_RSA_WITH_AES_256_CBC_SHA 256 bits Undefined - An unexpected error happened: TLS_DHE_DSS_WITH_AES_256_CBC_SHA OpenSSLError - error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error * Deflate Compression: OK - Compression disabled * Certificate Information: Content SHA1 Fingerprint: c2b3ce5b0905caa2ec5998aacf074f99cffb0207 Common Name: example.com Issuer: Thawte TLS RSA CA G1 Serial Number: 10361996092389695445524615643169842847 Not Before: 2018-12-05 00:00:00 Not After: 2020-12-04 12:00:00 Signature Algorithm: sha256 Public Key Algorithm: RSA Key Size: 2048 Exponent: 65537 (0x10001) DNS Subject Alternative Names: ['example.com'] Trust Hostname Validation: OK - Certificate matches example.com Android CA Store (9.0.0_r3): FAILED - Certificate is NOT Trusted: unable to get local issuer certificate iOS CA Store (11): FAILED - Certificate is NOT Trusted: unable to get local issuer certificate Java CA Store (jre-10.0.2): FAILED - Certificate is NOT Trusted: unable to get local issuer certificate macOS CA Store (High Sierra): FAILED - Certificate is NOT Trusted: unable to get local issuer certificate Mozilla CA Store (2018-08-23): FAILED - Certificate is NOT Trusted: unable to get local issuer certificate Windows CA Store (2018-08-04): FAILED - Certificate is NOT Trusted: unable to get local issuer certificate Symantec 2018 Deprecation: OK - Not a Symantec-issued certificate Received Chain: example.com Verified Chain: ERROR - Could not build verified chain (certificate untrusted?) Received Chain Contains Anchor: ERROR - Could not build verified chain (certificate untrusted?) Received Chain Order: OK - Order is valid Verified Chain contains SHA1: ERROR - Could not build verified chain (certificate untrusted?) Extensions OCSP Must-Staple: NOT SUPPORTED - Extension not found Certificate Transparency: OK - 3 SCTs included OCSP Stapling NOT SUPPORTED - Server did not send back an OCSP response * OpenSSL CCS Injection: OK - Not vulnerable to OpenSSL CCS injection * SSLV3 Cipher Suites: Server rejected all cipher suites. * SSLV2 Cipher Suites: Server rejected all cipher suites. * Resumption Support: With Session IDs: OK - Supported (5 successful, 0 failed, 0 errors, 5 total attempts). With TLS Tickets: NOT SUPPORTED - TLS ticket not assigned. * Downgrade Attacks: TLS_FALLBACK_SCSV: VULNERABLE - Signaling cipher suite not supported * TLSV1_3 Cipher Suites: Server rejected all cipher suites. * OpenSSL Heartbleed: OK - Not vulnerable to Heartbleed * TLSV1_2 Cipher Suites: Forward Secrecy OK - Supported RC4 OK - Not Supported Preferred: TLS_RSA_WITH_AES_256_CBC_SHA 256 bits Accepted: TLS_RSA_WITH_AES_256_CBC_SHA 256 bits TLS_DH_anon_WITH_AES_256_CBC_SHA ANONYMOUS TLS_DHE_RSA_WITH_AES_256_CBC_SHA 256 bits Undefined - An unexpected error happened: TLS_DHE_DSS_WITH_AES_256_CBC_SHA OpenSSLError - error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error * Session Renegotiation: Client-initiated Renegotiation: VULNERABLE - Server honors client-initiated renegotiations Secure Renegotiation: OK - Supported * ROBOT Attack: OK - Not vulnerable SCAN COMPLETED IN 9.31 S
最佳答案
内部错误是这样解决的:
$context = stream_context_create(
[
'ssl' => array(
'cafile' => $latestBundle->getFilePath(),
'SNI_enabled' => true,
'ciphers' => 'HIGH:TLSv1.2:TLSv1.1:TLSv1.0:SSLv3:SSLv2',
'verify_peer' => false,
'verify_peer_name' => false,
'crypto_disable_compression' => true,
'method' => STREAM_CRYPTO_METHOD_TLSv1_2_CLIENT,
'verify_depth' => 10,
)
]
);
但我仍然无法验证 CA 证书。
在 Chrome 中它工作正常。
这是因为 Chrome 做了一些解决方法,请参阅 https://security.stackexchange.com/questions/199963/certificate-works-in-chrome-firefox-but-not-with-curl-unable-to-get-local-is
所以我必须等到链配置正确。
关于php - 尝试让 PHP 流与 Thawte TLS RSA CA G1 一起工作 - 内部错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53815368/
26
4
0
我正在尝试在 Java 中执行此操作,但我认为这是一个一般证书问题。我有一个根CA,一个由根CA颁发的中间CA1,一个由中间CA1颁发的中间CA2,以及一个由中间CA2颁发的证书。 rootCA ->
编辑 1:https://security.stackexchange.com/questions/83972/trust-ca-and-parent-ca-but-not-other-derivat
我正在使用“任何?” block 中的方法。该片段正在字符串中查找字符串“CA”(拆分)检查: region="CA" check="AU,US,UK,CA,ZA" if check.split(',
我有一个SpringBoot应用程序,它使用以下配置与PostgreSQL通信,通过AWS Beanstrik部署:。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前,一切都很
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中,会生成 CSR,并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
我正在尝试导出客户端证书以供网络浏览器使用。 目标是使用 指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点? 1) 如果它是受信任的根 CA,我是否需要
我已经设法弄清楚 x509Certificate2Collection 中的证书是否是证书颁发机构证书,但我如何才能安全地确定它是根证书还是中间证书?以下是否足够安全? var collection
我使用 fabric-ca-sdk(fabric-sdk-java/fabric-sdk-java/src/test/fixture/sdkintegration) 中的测试代码启动 ca 服务器。并
环境: Red Hat Enterprise Linux Server release 7.7 (Maipo) # openssl version OpenSSL 1.0.2g 1 Mar 2016
导出 K8s 集群 CA 证书和 CA 私钥 团队,我有一个 Kubernetes 集群正在运行。我将一次又一次地删除和创建它,所以我想一直重复使用相同的 CA 证书,我需要保存 CA 证书和 key
我正在编写一个自定义客户端和服务器,我想通过公共(public) Internet 安全地进行通信,因此我想使用 OpenSSL 并让两端进行对等验证以确保我的客户端不会被 MITM 误导,同样,未经
问题: 我想构建一个 docker 容器 FROM:ubuntu:20.04但我无法访问外部互联网 我在内部网络上有一个 apt 镜像,可以使用 apt 镜像位于 https 后面,带有自定义证书 我
Linux 的新手,正在尝试了解更多,我遇到了这种情况。 我已经尝试使用 ps 命令并使用 grep 来捕获“ca”,但它会返回每次出现的“ca”,无论它来自什么,它实际上对我没有帮助。 我已经尝试过
我正在尝试在我的 .NET 应用程序和我安装了第三方根 CA 证书和中间 CA 证书的网站之间建立 TLS 连接: ServicePointManager.SecurityProtocol = Sec
SSL 证书永远不会让我眼花缭乱。我有一个网络应用程序,它从合作伙伴那里对另一项服务进行休息调用以获取某些数据。他们使用为公司生成的自签名或内部 CA。问题是每当另一端更新 SSL 证书时,我的应用程
我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自可信 CA 的证书,还是我可以使用我自己的 CA 生成的证书? 从移动客户端使用受信任的
有没有人设法将 CA 证书安装到 activemq 实例中?我一直在进行谷歌搜索并阅读 activemq 文档,但我没有找到任何关于如何在 activemq 中使用预先存在的 CA 证书的信息。 我假
openssl ca 和 openssl x509 命令有什么区别?我正在使用它来创建和签署我的 root-ca、intermed-ca 和客户端证书,但是 openssl ca 命令不会在证书上注册
在 keystore 中创建私钥和自签名证书 keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com
我的 Raspberry Pi 3 出了点问题。我不得不运行 fsck.ext3,但是很多包都损坏了,例如 python 等。现在,ca-certificates 不会重新安装。每当它运行 updat
我是一名优秀的程序员,十分优秀!