¿Por qué openssl s_client no valida correctamente google.com:443?

Navega tus respuestas
3

Lo intento 

$ openssl s_client -connect www.google.com:443

pero openssl se queja de que la cadena de certificados no es válida: 

$ openssl s_client -connect www.google.com:443
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

¿Por qué sucede esto? El certificado raíz de Equifax está en mi directorio / etc / ssl / certs, y si descargo la cadena y uso verify , openssl verificará la cadena. 

$ uname -a
Linux moxie 3.13.0-74-generic #118-Ubuntu SMP Thu Dec 17 22:52:02 UTC 2015 i686 i686 i686 GNU/Linux
$ openssl version
OpenSSL 1.0.1f 6 Jan 2014
$ openssl version -d
OPENSSLDIR: "/usr/lib/ssl"
    
pregunta Fixee 16.03.2016 - 20:35
fuente

3 respuestas

2

En OpenSSL 1.0.1f 

$ openssl version
OpenSSL 1.0.1f 6 Jan 2014

$ openssl s_client -connect www.google.com:443
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---

En OpenSSL 1.0.2e 

$ openssl version
OpenSSL 1.0.2e 3 Dec 2015

$ openssl s_client -connect www.google.com:443
CONNECTED(00000003)
depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority
verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = www.google.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---

Parece que hay un cambio en el comportamiento de la versión que tienes. Puede especificar CApath explícitamente o actualizar a una versión más reciente.

    
respondido por el Rahul 16.03.2016 - 21:29
fuente
1

Debe especificar explícitamente la ruta CA (al menos en Ubuntu):

openssl s_client -connect www.google.com:443 -CApath /etc/ssl/certs/

    
respondido por el Teun Vink 16.03.2016 - 20:40
fuente
0

Debes leer tu mensaje de error, hay una respuesta: 

unable to get local issuer certificate

la palabra mágica es local . Apúntelos a la carpeta donde viven sus certificados SSL raíz, así: 

i# openssl s_client -verify on -CApath /etc/ssl/certs -connect  www.google.com:443
verify depth is 0
CONNECTED(00000003)
depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority
verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = google.com
---- snip ---   
verify return:1
Start Time: 1458160977
Timeout   : 300 (sec)
Verify return code: 0 (ok)
---
^C
    
respondido por el Alexey Vesnin 16.03.2016 - 21:48
fuente

Lea otras preguntas en las etiquetas

¿Se ha descifrado un archivo .dmg cifrado en el servidor de Dropbox? [cerrado] ¿Cuáles son los riesgos de seguridad al importar y procesar una hoja de cálculo de Excel de un usuario no confiable?