Expiración del certificado OpenSSL

6

Estoy intentando usar OpenSSL para verificar que un certificado SSL sigue siendo válido, pero sigo obteniendo resultados extraños. El sitio de ejemplo que estoy probando con (expired.badssl.com) tiene un certificado SSL caducado.

Firefox lo marca como caducado en abril de 2015 y muestra la advertencia correspondiente, pero cuando veo la información del certificado que se presenta con OpenSSL s_client, dice que sigue siendo válida hasta 2016:

$ (echo "" | openssl s_client -connect expired.badssl.com:443 -CApath /etc/ssl/certs/ca-certificates.crt) | openssl x509 -noout -dates
[...]
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.badssl.com
verify return:1
DONE
notBefore=Apr  9 00:00:00 2015 GMT
notAfter=Jul  7 23:59:59 2016 GMT

Sospecho que me estoy perdiendo algo aquí, pero no puedo entender qué es.

    
pregunta Jak 31.07.2015 - 14:28
fuente

1 respuesta

6

Creo que te estás perdiendo -servername expired.badssl.com

$ echo "" | openssl s_client -connect expired.badssl.com:443 -CApath /etc/ssl/certs/ca-certificates.crt -servername expired.badssl.com 2>/dev/null | openssl x509 -noout -subject -dates

subject= /OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.badssl.com  
notBefore=Apr  9 00:00:00 2015 GMT  
notAfter=Apr 12 23:59:59 2015 GMT

Al parecer, este servidor aloja varios servicios HTTPS ...

$ host badssl.com
badssl.com has address 104.154.89.105

$ host expired.badssl.com
expired.badssl.com has address 104.154.89.105

... por lo que la extensión de Indicación del nombre del servidor es obligatoria para obtener el certificado apropiado en lugar del correspondiente al sitio predeterminado.

    
respondido por el Jyo de Lys 31.07.2015 - 14:47
fuente

Lea otras preguntas en las etiquetas