Gyorskeresés
Legfrissebb anyagok
- Bemutató Spyra: akkus, nagynyomású, automata vízipuska
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
Általános témák
LOGOUT.hu témák
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [Algieba:] Aurora borealis
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [Brogyi:] CTEK akkumulátor töltő és másolatai
- [Re:] [DraXoN:] Netfix lemondva
- [Re:] [bitpork:] Vasarnapi Iza csinazta ebed
- [Re:] [Oldman2:] A KOReader ebook olvasó program
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [antikomcsi:] Való Világ: A piszkos 12 - VV12 - Való Világ 12
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
dqdb
Topikgazda
Egy korábbi hozzászólásomból ollóztam, most is csak azért írom le részletesen a parancsokat, hogy legközelebb hasonló esetben könnyebb dolgom legyen. Bár sokat használom az OpenSSL-t, de főleg fejlesztés közben, mint kriptográfiai könyvtárat, és nem a parancssori segédprogramot, hogy annak a paraméterezés megmaradjon a fejemben.
openssl s_client -showcerts -connect www.otpbank.hu:443 >chain.txt
Ezzel a paranccsal elmentettem az OTP tanúsítványát az SSL kapcsolatból, amely a chain.txt első eleme volt. Ezt kivágtam, és otp.cer néven egy fájlba másoltam. Mivel a hierarchia másik két eleme már a Windows tanúsítványtárában is benne volt, így azokat vs-class3.cer és vs-root.cer néven exportáltam.
type *.cer >>chain.crt
Összefűztem az összes tanúsítványt egyetlen fájlba, ez lesz az ellenőrzések során használt "tanúsítványtár".
openssl x509 -text -in otp.cer
Megnéztem a tanúsítvány sorozatszámát (51d06f8d5301859e9ee6d174f269a8c0) és a tanúsítványhoz tartozó OCSP responder címét (http://EVIntl-ocsp.verisign.com). Ugyanezt végrehajtottam a felette álló CA-val is (112a006d37e5106fd6ca7cc3efbacc18 és http://EVSecure-ocsp.verisign.com).
openssl ocsp -CAfile chain.crt -issuer vs-root.cer -url http://EVSecure-ocsp.verisign.com -serial 0x112a006d37e5106fd6ca7cc3efbacc18
Ellenőriztem az OTP tanúsítványát kiadó CA tanúsítványát, minden rendben van, a válasz a következő (a nonce hiánya nem szép, egy ekkora cégnek a saját szervereire illene szolgáltatni ilyet):
WARNING: no nonce in response
Response verify OK
0x112a006d37e5106fd6ca7cc3efbacc18: good
This Update: May 12 08:11:50 2013 GMT
Next Update: May 19 08:11:50 2013 GMT
openssl ocsp -CAfile chain.crt -issuer vs-class3.cer -url http://EVIntl-ocsp.verisign.com -serial 0x51d06f8d5301859e9ee6d174f269a8c0
Ellenőriztem az OTP tanúsítványát, a válasz a következő:
Responder Error: unauthorized (6)
A válaszkód kifejtése az RFC2560-ból:
The response "unauthorized" is returned in cases where the client is not authorized to make this query to this server.
Vagyis annyi történt, hogy a VeriSign OCSP respondere nem enged anonim ellenőrzést valamiért. Nem tudom, hogy ez most hiba vagy feature a VeriSign részéről, az biztos, hogy amíg ez fennáll, addig Operában nem fog menni, mert az minden lekérés előtt végez OCSP ellenőrzést, ha ez az opció be van kapcsolva (alapból igen):
opera:config#SecurityPrefs|OCSPValidateCertificates
Ha kikapcsolod, akkor menni fog az OTP oldala, cserébe a biztonság sérül valamennyire (de még mindig jobb lesz, mert legalább működik).
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
Téma tudnivalók
Kérdés előtt olvasd el az
összefoglalót!
Mai Hardverapró hirdetések
prémium kategóriában
- ReGalaxy Samsung Galaxy S22 Ultra 512GB/12GB Fekete
- ACER NITRO V (ANV15-51-51KZ) 15.6" FULLHD IPS 144HZ, CORE I5-13420H, 16GB, 1TB SSD, RTX 4050
- SAMSUNG LS32BG700EUXEN 32" NEO Q-LED G7 MONITOR ! AKCIÓ!
- SAMSUNG LC32G75TQSRXEN ODESSY G7 GAMER MONITOR ! AKCIÓ
- SAMSUNG (LU28R550UQRXEN) 28" GAMER MONITOR ! AKCIÓ!