Come testare se uno strumento non verifica / extendedKeyUsage =? [chiuso]

Question

Come testare se uno strumento non verifica / extendedKeyUsage =? [chiuso]

#1 da (2 voti)

1

I browser Web non controllano tale campo, ma alcune librerie di terze parti per lingue come perl non la eseguono (controllano / keyUsage = ma non /extendedKeyUsage= ).

Quindi, ad esempio, avrei bisogno di un'autorità di certificazione che consenta di inserire qualcosa all'interno di /cn= (un campo che può essere tipicamente utilizzato per il sottoscrittore nel caso di certificati s / mime poiché il campo / keyusage = consente encipherment ma non per l'autenticazione del server). Badssl non offre questa opzione di test (e probabilmente nessun altro sito web).

Why not make your own ca? Perché sto parlando di cose schifose che hanno tutti i loro certificati codificati in oggetti condivisi compilati?
Inoltre, nel mio caso (per le disclosure responsabili che sto pianificando), il bug non dovrebbe essere ipotetico. Intendo dire che un'autorità di certificazione dovrebbe consegnare certificati con siti web arbitrari nei campi /cn= ma senza autenticazione del server nel campo /extendedKeyUsage= .

Che tipo di certificato in genere non ammette la codifica del server nel loro campo /extendedKeyUsage= e non ha la parte /cn= verificata? Un certificato s / mime!
Se tale certificato viene utilizzato con un browser Web per l'uomo nel mezzo, il browser Web rileverà che il certificato non consente l'autenticazione del server nel suo campo /extendedKeyUsage= e lo rifiuta. Ma se uno strumento non controlla il contenuto del campo /extendedKeyUsage= , l'uomo nel mezzo funzionerebbe.

tls certificates certificate-authority key-usage

posta user2284570 12.01.2018 - 19:31

fonte

1 risposta

Leggi altre domande sui tag tls certificates certificate-authority key-usage

Un percorso di restituzione personalizzato rende SPF ridondante CSRF con un'API JSON CORS [duplicato]

score 2 · Answer 1

a certificate authority should deliver certificates with arbitrary websites in the /cn= fields but without server authentication in the /extendedKeyUsage= field.

"Siti web arbitrari" suona come qualcosa per cui potresti essere o non essere l'amministratore.

Fammi capire bene Volete una CA pubblicamente attendibile (ritenuta affidabile da dispositivi reali nel mondo) per rilasciare un certificato TLS del server non valido / non valido (perché l'EKU è sbagliato), ai fini della vostra ricerca sulla sicurezza? Innanzitutto, suppongo che la maggior parte delle CA commerciali che emettono i certificati Web TLS siano codificate per compilare correttamente il campo EKU. In secondo luogo, non sono un esperto delle regole del CA / Browser Forum, ma rilasciare certifica intenzionalmente malformati / dannosi da una radice di fiducia pubblica sembra il tipo di cosa che potrebbe portare una CA in un sacco di problemi. Buona fortuna a trovarne uno.

RISPOSTA ORIGINALE:

I would need a certificate authority that would allow to ...

Perché non creare la propria CA?

Ogni volta che sto testando roba di convalida del cert, faccio un CA openSl rapido usando openssl. Se la riga di comando openssl ti intimidisce (non ti biasimo), ti consiglio il wrapper convenienza CA.pl . Aggiungi la tua nuova CA radice all'archivio di fiducia di qualsiasi app che stai testando e quindi hai la possibilità di produrre qualsiasi tipo di certificato bizzarro che desideri e assicurati che l'applicazione la respinga correttamente.

(nota, a volte devi essere un po 'tra le erbacce dei file di configurazione di openssl a seconda dei campi dei certificati che stai tentando di manipolare o di come vuoi che faccia la firma.)