- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
几乎这是对问题的附加信息的请求: OpenSSL certificate revocation check in client program using OCSP stapling
我想知道 OpenSSL 实际上是如何处理 OCSP 装订响应的。问题是:
1. OpenSSL 是否检查响应的签名、颁发者 key /名称哈希值?
2. 响应是否包括整个证书链的 OCSP 响应?如果是这样,有没有办法知道其中一个验证失败了?
3. 总而言之,我可以简单地依赖响应的“证书状态:良好”字段吗? :)
我担心的是,黑客可能会使用已撤销(被盗)的证书制作 https 服务器,但在握手期间为由同一 CA 颁发者认证的随机网站提供有效的装订 OCSP 响应。 OpenSSL 能处理这种情况吗?
示例 OCSP 响应可在此处找到 https://www.feistyduck.com/library/openssl-cookbook/online/ch-testing-with-openssl.html#testing-ocsp-stapling
最佳答案
Documentation对于 SSL_set_tlsext_status_type
表示回调必须确定 OCSP 响应是否可接受。
这意味着 OpenSSL 库本身不会对 OCSP 响应进行任何验证。但它是开源的,所以我们可以看看。参见 OpenSSL source of s3_clnt.c on GitHub
库将验证 SSL 握手中的消息类型是否正确、长度是否正确以及响应是否完整,但根本不检查内容。
回调被调用,如果使用 SSL_CTX_set_tlsext_status_cb
设置,回调的返回代码是唯一用于继续或中止 SSL 握手的东西。
响应数据将是 OCSP 响应的 DER 编码二进制字节。 OpenSSL 提供了解析此值并检查其内容的函数。
关于ssl - 使用 OCSP 装订 2 在客户端程序中检查 OpenSSL 证书吊销,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36585021/
#常规 OCSP (RFC 6960)我编写了一个 OCSP 响应程序,其中响应基于 RFC 6960其中指出: If nextUpdate is not set, the responder is
目前,我有一个实现,可以在 verify_callback(int preverify_ok, X509_STORE_CTX *x509_ctx) 函数中为每个中间实体和最终实体证书发送 OCSP 请
我正在尝试在 Nginx 上设置 OCSP 装订 我收到错误: "ssl_stapling" ignored, host not found in OCSP responder "ocsp.comod
如何使用 Java 9 中提供的 OCSP 实现将 Apache Tomcat 配置为使用 OCSP 装订和证书吊销检查? 在 Java 9 上运行具有以下属性的 tomcat 9 就足够了吗? //
当你请求 OCSP 服务器检查证书的吊销状态时,它是否会自动检查整个链的吊销状态? 即:如果它说证书“好”,那么这是否意味着整个链条都很好? 我阅读了规范:http://www.ietf.org/rf
我使用 Bouncy CaSTLe API 创建了一个 OCSP 客户端。我在从我得到的 OCSP 响应中找到证书状态(说明它是否被撤销)时遇到了麻烦。从 resp.getCertStatus() 返
我已经编写了一个在 Java 中进行相互身份验证的 TLS 代码,因此客户端在服务器发送其证书后发送其证书。我想通过从客户端到服务器端的 OCSP 验证证书链中的所有证书。 我已经编写了我的循环逻辑,
我不是 OpenSSL 专家,但我一直在尝试编写一些代码来处理连接到 SSL 安全服务器的客户端的 OCSP 装订。我对 OCSP 的理解是,它是用来证明所出示的证书没有被撤销,这意味着我不需要处理管
我正在尝试使用Verisign的OCSP服务器来验证其已颁发的证书,例如amazon.com 我有颁发者证书(很难找到)。以及亚马逊0证书。我正在使用openSSL,但似乎无法获得正确的OCSP响应者
我目前正在开发一个使用 OCSP 或 CRL 验证签名证书(如在 pdf 中)的应用程序。这些很可能是叶证书,没有整个链。获得任一验证服务的 url 证明非常简单。 据我了解,OCSP 和 CRL 都
我正在尝试向我使用 CmsSignedDataGenerator 使用 Bouncy CaSTLe 签名的 PDF 文档添加 OCSP 响应 我认为我正确嵌入了 OCSP 响应,但是当我在 Adob
我正在尝试针对 ocsp 响应程序运行我的证书以检查有效性。我在 Rails 上使用 Ruby,但基本上将其作为系统命令运行 目前,以下命令有效并将结果存储在文件中。 command = "opens
我在 Windows 上设置 Apache 2.4.29 以使用有效的 OCSP 响应程序进行客户端身份验证时遇到问题。当 OCSP 响应程序关闭时,客户端身份验证工作正常。当我手动使用 OpenSS
我如何使用 OCSP 在 java 中手动检查证书吊销状态,只给定客户端的 java.security.cert.X509Certificate?我看不到一个明确的方法。 或者,我可以让 tomcat
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。 在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X
我正在使用 bouncy caSTLe 1.48 通过 OCSP 验证证书验证。效果很好。但我使用 Ocsp Url 作为静态变量,我想从证书中读取它。证书中的 URL 写为Authority Inf
System.setProperty("com.sun.net.ssl.checkRevocation", "true"); Security.setProperty("ocsp.enable", "
OCSP Stapling 不适用于 Nginx 上的 Thawte 证书,可能是什么问题? 配置 Nginx 以使用 OCSP 装订。 ssl_stapling on; ssl_stapling_v
我想使用 OCSP 检查在 TLS 握手期间来自服务器的证书。 我使用 Bouncy CaSTLe 作为 OCSP 实现的提供者,BC 验证方法通常需要 X509Certificate 作为参数。 所
如果我设置 Security.setProperty("ocsp.enable", "true"),SSLSocket 或 SSLServerSocket 连接会自动检查吗使用 OCSP 吊销证书?
我是一名优秀的程序员,十分优秀!