Come rilevare se una CA ha utilizzato EV per un certificato utilizzando openssl

3

Desidero scaricare il certificato di un particolare nome host e rilevare se la CA ha utilizzato EV (convalida estesa) al momento del rilascio. Finora non sono stato in grado di trovare nulla che identifichi i certificati come EV. C'è un modo per raggiungere questo obiettivo? Idealmente usando OpenSSL?

    
posta Coxer 07.05.2015 - 16:58
fonte

1 risposta

5

Nota che i certificati EV non sono strutturalmente diversi: sono solo un certificato emesso in base a una politica diversa. Quindi devi controllare la politica. Vedi link

Avrai bisogno di fare una ricerca della tabella abbastanza ampia, non sarò nativo di openssl, temo.

Questo è probabilmente un dup di link

In risposta ad alcuni commenti di seguito:

Questo attributo si trova nel campo "Estensioni X509v3". x509v3_config(5) note

Certificate Policies.

This is a raw extension. All the fields of this extension can be set by using the appropriate syntax.

If you follow the PKIX recommendations and just using one OID then you just include the value of that OID. Multiple OIDs can be set separated by commas, for example:

certificatePolicies= 1.2.4.5, 1.1.3.4

Ecco come ottengono in il certificato. Ecco come appare nel certificato: ad esempio, se si esamina il certificato GlobalSign che protegge il link :

echo | openssl s_client -connect www.globalsign.com:443 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > globalsign.pem

Questo acquisisce il certificato in un file. Puoi visualizzarlo,

openssl x509 -text -noout -in globalsign.pem

e circa a metà dell'output, [...]

       X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.4146.1.1
                  CPS: https://www.globalsign.com/repository/

[...] L'OID della politica corrisponde all'ID EV per globalsign (ed è sul tavolo su wikipedia). E come sottolinea Mike, il link lo descrive come {iso (1) identified-organization (3) dod (6) internet (1) private (4) enterprise (1) 4146 certificate-policies (1) extended-Validation-SSL (1)} e che 4146 è GlobalSign NV / SA .

    
risposta data 07.05.2015 - 17:18
fonte

Leggi altre domande sui tag