Come si può sapere quali parametri del certificato sono stati usati con openssl?

1

Quindi, ad esempio, il browser Chrome (che utilizza la sicurezza F12 >) ti dirà quale scambio di chiavi, crittografia e protocollo è stato utilizzato dal certificato SSL di un sito web.

per es.

protocol (TLS 1.2), a strong key exchange (ECDHE_RSA with P-256), and a strong cipher (AES_256_GCM).

C'è un modo per dire se il tuo certificato viene generato tramite quale algoritmo e scambio di chiavi in linux? Usando per es. OpenSSL?

Chiedo perché non ero il responsabile IT della società di hosting che ha creato la chiave privata che è stata poi utilizzata per inviare un CSR alla nostra CA e averlo firmato.

Voglio solo sapere se lo ha generato correttamente. Ho i file .csr, .pem. Posso chiedere, ma voglio sapere se c'è un modo per ispezionare.

    
posta Dexter 30.04.2017 - 05:55
fonte

1 risposta

4

... will tell you what key-exchange, cipher, and protocol was used by a website's SSL certificate.

Questo è sbagliato. Il metodo di scambio di chiavi, cifrario e protocollo sono caratteristiche della connessione TLS e non del certificato. In realtà, questi parametri sono (per lo più) indipendenti dal certificato. Dipendono invece dalle capacità e configurazioni dello stack TLS in client e server.

Le caratteristiche rilevanti del certificato sono invece il tipo e la forza della chiave (es. RSA-2048, ...), la CA emittente e l'algoritmo di firma per firmare la CA (cioè SHA-256, SHA-1 , ...)

I have the .csr, .pem files. I can ask, but I wanna know if there's a way to inspect.

openssl req -text ti mostrerà (tra le altre cose) le informazioni sulla chiave pubblica per la CSR, mentre openssl x509 -text ti mostrerà in aggiunta l'emittente che ha firmato il certificato e l'algoritmo della firma usato.

Da questo non si sa se l'amministratore ha usato i comandi OpenSl appropriati per generare il CSR. Non sai nemmeno se usasse OpenSSL o altri strumenti. Puoi vedere solo il risultato.

Nel peggiore dei casi il certificato è stato generato utilizzando un generatore casuale debole e quindi non è sicuro, come nel caso di il bug del generatore casuale Debian . Ma non sarai in grado di rilevare alcun generatore casuale rotto solo guardando il singolo certificato. Inoltre, non sai quanto bene il tuo provider di hosting protegge la chiave privata solo guardando la CSR o il certificato.

    
risposta data 30.04.2017 - 06:50
fonte

Leggi altre domande sui tag