搜索
搜索

如果不使用来自系统的证书,curl 中的公钥固定不起作用

Claudiu 发表于 Dev
10
克劳迪乌

我正在尝试将 libcurl 与公钥固定一起使用,以便在下载文件时验证服务器的真实性。

Curl 被编译,因此它不使用系统上的任何证书,而只依赖于它从用户那里收到的证书:

./configure --without-ca-bundle --without-ca-path --without-ca-fallback && make

首先,我获得服务器证书的公钥的SHA256总和,为解释在这里

$ openssl s_client -servername www.example.com -connect www.example.com:443 < /dev/null | sed -n "/-----BEGIN/,/-----END/p" > www.example.com.pem
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
verify return:1
depth=0 C = US, ST = California, L = Los Angeles, O = Internet Corporation for Assigned Names and Numbers, OU = Technology, CN = www.example.org
verify return:1
DONE
$ openssl x509 -in www.example.com.pem -pubkey -noout > www.example.com.pubkey.pem
$ openssl asn1parse -noout -inform pem -in www.example.com.pubkey.pem -out www.example.com.pubkey.der
$ openssl dgst -sha256 -binary www.example.com.pubkey.der | openssl base64
xmvvalwaPni4IBbhPzFPPMX6JbHlKqua257FmJsWWto=

然后我在 libcurl 中设置公钥的哈希和其他相关选项:

curl_easy_setopt(conn, CURLOPT_PINNEDPUBLICKEY, "sha256//xmvvalwaPni4IBbhPzFPPMX6JbHlKqua257FmJsWWto=");
curl_easy_setopt(conn, CURLOPT_SSL_VERIFYPEER, 1);
curl_easy_setopt(conn, CURLOPT_SSL_VERIFYHOST, 2);
curl_easy_setopt(conn, CURLOPT_URL, "https://example.com/index.html");
curl_easy_setopt(conn, CURLOPT_VERBOSE, 1);
curl_code = curl_easy_perform(conn);
if (curl_code != CURLE_OK)
{
    printf("%s\n", curl_easy_strerror(curl_code));
}

下载失败并出现错误:

* SSL certificate problem: unable to get local issuer certificate
...
Peer certificate cannot be authenticated with given CA certificates

好吧,似乎 curl 正在寻找一些证书,所以我重新编译它以使其包含默认证书:

./configure && make

现在,下载将工作:

* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: none
...
*  SSL certificate verify ok.
*    public key hash: sha256//xmvvalwaPni4IBbhPzFPPMX6JbHlKqua257FmJsWWto=
...

在 CURLOPT_PINNEDPUBLICKEY 文档中,有解释:

When negotiating a TLS or SSL connection, the server sends a certificate
indicating its identity. A public key is extracted from this certificate
and if it does not exactly match the public key provided to this option,
curl will abort the connection before sending or receiving any data.

所以我的印象是 curl 只需要用户的公钥,以便将它与从服务器证书中提取的公钥进行比较。

我在这里缺少什么?

克劳迪乌

问题是CURLOPT_SSL_VERIFYPEER设置为 1 会启用 CA 固定。Curl 接受同时设置 CA pinning 和 public-key pinning,并且因为 CA pinning 在 public key pinning 之前尝试,CA pinning 失败并且它永远不会进行 public key pinning。

解决方案是在进行公钥固定时显式禁用 CA 固定:

curl_easy_setopt(conn, CURLOPT_SSL_VERIFYPEER, 0);

这需要明确地完成,因为默认值为CURLOPT_SSL_VERIFYPEER1。

注意:CURLOPT_SSL_VERIFYPEER通常应该避免设置为 0,但在这种情况下它是安全的,因为正在完成公钥固定。

有关更多详细信息,请参阅此 curl 问题

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

使用SSH公钥登录不起作用

AlamoFire:公钥固定不起作用

移动应用中的公钥固定与证书固定

使用来自 X509 证书 C++ 的公钥的 RSA 公共加密

固定的导航栏即使使用位置也不起作用:固定在CSS中

使用 PHP 进行证书固定不起作用

ssh公钥认证不起作用

使用PHP + Curl进行TLS公钥固定?

使用来自 Selenium 的 Javascript 启动网站不起作用

使用来自 PHP 的 OData 更新 MS NAV 中的客户数据不起作用

如果鼠标在固定块上方,则滚动不起作用

如何从Windows系统certstore中的证书获取公钥

使用-webkit-transform时固定的位置不起作用

在iOS中使用AFNetworking进行SSL固定不起作用

使用position:固定在tumblr上的链接不起作用

如何在iOS上固定证书的公钥

从存储中删除证书不起作用

从 nodejs 中的证书获取公钥

ssh配置不起作用。权限被拒绝(公钥)

公钥不起作用...但是与主机密钥匹配

“ curl”在脚本中不起作用

如果比较在php中不起作用

如果语句在JQuery中不起作用

如果语句在cron中不起作用

如果--help在终端中不起作用

如果声明在jQuery中不起作用

如果语句在函数中不起作用

如果程序中的条件不起作用

如果不使用模板中的特定 vuex 状态,则单击处理程序不起作用

TOP 榜单

  1. 1

    Linux的官方Adobe Flash存储库是否已过时?

  2. 2

    用日期数据透视表和日期顺序查询

  3. 3

    应用发明者仅从列表中选择一个随机项一次

  4. 4

    Java Eclipse中的错误13,如何解决?

  5. 5

    在Windows 7中无法删除文件(2)

  6. 6

    在 Python 2.7 中。如何从文件中读取特定文本并分配给变量

  7. 7

    套接字无法检测到断开连接

  8. 8

    带有错误“ where”条件的查询如何返回结果?

  9. 9

    有什么解决方案可以将android设备用作Cast Receiver?

  10. 10

    Mac OS X更新后的GRUB 2问题

  11. 11

    ggplot:对齐多个分面图-所有大小不同的分面

  12. 12

    验证REST API参数

  13. 13

    如何从视图一次更新多行(ASP.NET - Core)

  14. 14

    尝试反复更改屏幕上按钮的位置 - kotlin android studio

  15. 15

    计算数据帧中每行的NA

  16. 16

    检索角度选择div的当前值

  17. 17

    离子动态工具栏背景色

  18. 18

    UITableView的项目向下滚动后更改颜色,然后快速备份

  19. 19

    VB.net将2条特定行导出到DataGridView

  20. 20

    蓝屏死机没有修复解决方案

  21. 21

    通过 Git 在运行 Jenkins 作业时获取 ClassNotFoundException

热门标签

归档