Scadenza del certificato OpenSSL

6

Sto tentando di utilizzare OpenSSL per verificare che un certificato SSL sia ancora valido, ma continuo a ricevere risultati strani. Il sito di esempio con cui sto testando (expired.badssl.com) ha un certificato SSL scaduto.

Firefox lo segnala come scaduto nell'aprile 2015 e mostra l'avviso pertinente, ma quando guardo le informazioni sul certificato presentate usando OpenSSL s_client, dice che è ancora valido fino al 2016:

$ (echo "" | openssl s_client -connect expired.badssl.com:443 -CApath /etc/ssl/certs/ca-certificates.crt) | openssl x509 -noout -dates
[...]
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.badssl.com
verify return:1
DONE
notBefore=Apr  9 00:00:00 2015 GMT
notAfter=Jul  7 23:59:59 2016 GMT

Sospetto che mi manchi qualcosa qui, ma non riesco a capire di cosa si tratta.

    
posta Jak 31.07.2015 - 14:28
fonte

1 risposta

6

Penso che manchi -servername expired.badssl.com

$ echo "" | openssl s_client -connect expired.badssl.com:443 -CApath /etc/ssl/certs/ca-certificates.crt -servername expired.badssl.com 2>/dev/null | openssl x509 -noout -subject -dates

subject= /OU=Domain Control Validated/OU=PositiveSSL Wildcard/CN=*.badssl.com  
notBefore=Apr  9 00:00:00 2015 GMT  
notAfter=Apr 12 23:59:59 2015 GMT

Apparentemente questo server ospita diversi servizi HTTPS ...

$ host badssl.com
badssl.com has address 104.154.89.105

$ host expired.badssl.com
expired.badssl.com has address 104.154.89.105

... quindi l'estensione dell'indicazione del nome del server è obbligatoria per ottenere il certificato appropriato anziché quello corrispondente al sito predefinito.

    
risposta data 31.07.2015 - 14:47
fonte

Leggi altre domande sui tag