¿Cómo comprueba si una herramienta no comprueba / extendedKeyUsage =? [cerrado]

Question

¿Cómo comprueba si una herramienta no comprueba / extendedKeyUsage =? [cerrado]

#1 de Mike Ounsworth (2 votos)

1

Los navegadores web están fuera de rumbo en ese campo, pero algunas bibliotecas de terceros para idiomas como perl no lo realizan (verifican / keyUsage = pero no /extendedKeyUsage= ).

Entonces, por ejemplo, necesitaría una autoridad de certificación que permitiera poner cualquier cosa dentro de /cn= (un campo que se puede usar normalmente para el suscriptor en el caso de certificados s / mime ya que el campo / keyusage = permite cifrado pero no para la autenticación del servidor). Badssl no ofrece dicha opción de prueba (y probablemente no cualquier otro sitio web).

Why not make your own ca? ¿Porque estoy hablando de cosas de mierda que tienen todo su certificado codificado en objetos compartidos compilados?
Además, en mi caso (para las revelaciones responsables que estoy planeando), el error no debería ser hipotético. Me refiero a que una autoridad de certificación debe entregar certificados con sitios web arbitrarios en los campos /cn= pero sin autenticación del servidor en el campo /extendedKeyUsage= .

¿Qué tipo de certificado generalmente no permite el cifrado del servidor en su campo /extendedKeyUsage= y no se ha verificado la parte /cn= ? ¡Un certificado s / mime!
Si dicho certificado se usa con un navegador web para man in middle, el navegador web detectará que el certificado no permite la autenticación del servidor en el campo /extendedKeyUsage= y lo rechaza. Pero si una herramienta no verifica el contenido del campo /extendedKeyUsage= , el hombre en el medio funcionaría.

tls certificates certificate-authority key-usage

pregunta user2284570 12.01.2018 - 19:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates certificate-authority key-usage

¿Qué acciones son necesarias en el servidor cuando expira un certificado intermedio? Cuadernos de Python y compartir

score 2 · Answer 1

una autoridad de certificación debe entregar certificados con sitios web arbitrarios en los campos /cn= pero sin autenticación del servidor en el campo /extendedKeyUsage= .

"Sitios web arbitrarios" suena como algo para lo que puedes o no ser el administrador.

Déjame aclarar esto. ¿Desea que una CA de confianza pública (en la que confían dispositivos reales en el mundo) le emita un certificado de servidor TLS con formato incorrecto / no válido (porque el EKU es incorrecto), para el propósito de su investigación de seguridad? Primero, supongo que la mayoría de las CA comerciales que emiten certificados web TLS están codificadas para completar correctamente el campo EKU. En segundo lugar, no soy un experto en las reglas de CA / Browser Forum, pero emitir certificados intencionalmente mal formados / maliciosos fuera de una raíz de confianza pública parece ser el tipo de cosa que podría hacer que una CA tenga muchos problemas. Buena suerte encontrando uno.

RESPUESTA ORIGINAL:

Necesitaría una autoridad de certificación que permitiera ...

¿Por qué no crea tu propia CA?

Siempre que estoy probando cosas de validación de certificados, hago una CA rápida de openssl usando openssl. Si la línea de comando openssl te intimida (no te culpo), entonces recomiendo la envoltura de conveniencia CA.pl . Agregue su nueva CA raíz al almacén de confianza de cualquier aplicación que esté probando y luego tendrá la capacidad de producir cualquier tipo de certificado extraño que desee y asegurarse de que la aplicación lo rechace correctamente.

(tenga en cuenta que, a veces, es necesario que se adentre en las malezas de los archivos de configuración de openssl, según los campos de certificado que esté tratando de manipular o la forma en que desea que se firme.)