Cómo detectar si una CA usó EV para un certificado usando openssl

Question

Cómo detectar si una CA usó EV para un certificado usando openssl

#1 de Robert Weaver (5 votos)

3

Quiero descargar el certificado de un nombre de host particular y detectar si la CA usó EV (validación extendida) al emitirlo. Hasta ahora no he podido encontrar nada que identifique certificados como EV. ¿Hay alguna manera de lograr esto? ¿Idealmente utilizando OpenSSL?

tls certificates certificate-authority openssl

pregunta Coxer 07.05.2015 - 16:58

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates certificate-authority openssl

¿OpenSSH usa cifrados de exportación? ¿Puedo almacenar de forma segura el hash (sessionId) en los registros de la aplicación?

score 5 · Answer 1

Tenga en cuenta que los certificados EV no son estructuralmente diferentes, son solo un certificado emitido según una política diferente. Así que hay que revisar la política. Consulte enlace

Tendrá que hacer una búsqueda de tablas bastante extensa, no será nativo de openssl, me temo.

Este es probablemente un dup de enlace

En respuesta a algunos comentarios a continuación:

Este atributo se encuentra en el campo "Extensiones X509v3". x509v3_config(5) notas

Políticas de certificado.

Esta es una extensión en bruto. Todos los campos de esta extensión se pueden configurar utilizando la sintaxis apropiada.

Si sigues las recomendaciones de PKIX y solo usas un OID, solo debes incluir el valor de ese OID. Se pueden establecer varios OID separados por comas, por ejemplo:
certificatePolicies= 1.2.4.5, 1.1.3.4

Así es como se meten en el certificado. Esto es lo que parece en el certificado: por ejemplo, si examina el certificado GlobalSign que protege enlace :

echo | openssl s_client -connect www.globalsign.com:443 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > globalsign.pem

Esto captura el certificado en un archivo. Puedes verlo,

openssl x509 -text -noout -in globalsign.pem

y aproximadamente a medio camino a través de la salida, [...]

       X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.4146.1.1
                  CPS: https://www.globalsign.com/repository/

[...] El OID de esa política corresponde al OID de EV para globalsign (y está en la tabla en wikipedia). Y como Mike señala, enlace describe esto como {iso (1) organización identificada (3) dod (6) internet (1) privada (4) empresarial (1) 4146 políticas-certificado (1) SSL con validación extendida (1)} y que 4146 es GlobalSign NV / SA .