我正在努力寻找一种可靠的方法来从我的 C# (.Net 4.0) 应用程序中检查 X509Certificate(或 X509Certificate2)是否设置了“扩展验证”(EV)标志。有谁知道最好的方法?
2 回答
您可以检查是否X509Certificate
包含这些OId之一。此外,您可以查看 Chromium 的 Source 以获取已实施 OId 的列表。您可以在此处找到源代码。如果您想坚持使用 Firefox,可以在此处获取实现。
我现在更新了我的源代码并对其进行了测试。我编写了一个小方法来验证X509Certificate2
来自 Wikipedia/Chromium 的 OId 列表。在这种方法中,我使用的是 Wikipedia-List,最好使用 Chromium-List。
OId是如何保存的?
每个CA
都有一个或多个 ObjectIds OId
。正如您可能猜到的那样,它们不会保存为扩展,而是保存为策略扩展中的条目。要获得确切的扩展名,建议使用其Policy Extension
自身的 Oid 而不是使用友好名称。策略扩展的 OId 是2.5.29.32
。
提取信息
要获取 Policy Extensions 的内部内容,我们可以使用System.Security.Cryptography.AsnEncodedData
将其转换为可读的string
. 字符串本身包含我们需要匹配的策略,string[]
以确保它是否包含一个EV Certificate
.
来源
/// <summary>
/// Checks if a X509Certificate2 contains Oids for EV
/// </summary>
/// <param name="certificate"></param>
/// <returns></returns>
private static bool IsCertificateEV(X509Certificate2 certificate)
{
// List of valid EV Oids
// You can find correct values here:
// http://code.google.com/searchframe#OAMlx_jo-ck/src/net/base/ev_root_ca_metadata.cc&exact_package=chromium
// or in Wikipedia
string[] extendedValidationOids =
{
"1.3.6.1.4.1.34697.2.1",
"1.3.6.1.4.1.34697.2.2",
"1.3.6.1.4.1.34697.2.1",
"1.3.6.1.4.1.34697.2.3",
"1.3.6.1.4.1.34697.2.4",
"1.2.40.0.17.1.22",
"2.16.578.1.26.1.3.3",
"1.3.6.1.4.1.17326.10.14.2.1.2",
"1.3.6.1.4.1.17326.10.8.12.1.2",
"1.3.6.1.4.1.6449.1.2.1.5.1",
"2.16.840.1.114412.2.1",
"2.16.528.1.1001.1.1.1.12.6.1.1.1",
"2.16.840.1.114028.10.1.2",
"1.3.6.1.4.1.14370.1.6",
"1.3.6.1.4.1.4146.1.1",
"2.16.840.1.114413.1.7.23.3",
"1.3.6.1.4.1.14777.6.1.1",
"1.3.6.1.4.1.14777.6.1.2",
"1.3.6.1.4.1.22234.2.5.2.3.1",
"1.3.6.1.4.1.782.1.2.1.8.1",
"1.3.6.1.4.1.8024.0.2.100.1.2",
"1.2.392.200091.100.721.1",
"2.16.840.1.114414.1.7.23.3",
"1.3.6.1.4.1.23223.2",
"1.3.6.1.4.1.23223.1.1.1",
"1.3.6.1.5.5.7.1.1",
"2.16.756.1.89.1.2.1.1",
"2.16.840.1.113733.1.7.48.1",
"2.16.840.1.114404.1.1.2.4.1",
"2.16.840.1.113733.1.7.23.6",
"1.3.6.1.4.1.6334.1.100.1",
};
// Logic:
// Locate Certificate Policy Extension
// Convert to AsnEncodedData (String)
// Check if any of the EV Oids exist
return (
from X509Extension ext in certificate.Extensions
where ext.Oid.Value == "2.5.29.32"
select new AsnEncodedData(ext.Oid, ext.RawData).Format(true))
.Any(asnConvertedData => extendedValidationOids.Where(asnConvertedData.Contains).Any()
);
}
如果您需要一些资源来开始:
static void Main(string[] args)
{
// Create Delegate for analysis of X509Certificate
ServicePointManager.ServerCertificateValidationCallback = ValidateServerCertificate;
// Make sample request to EV-Website to get Certificate
var wc = new WebClient();
wc.DownloadString("https://startssl.com"); // EV
wc.DownloadString("https://petrasch.biz"); // Not EV
Console.ReadLine();
}
public static bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
var cert = (X509Certificate2) certificate;
Console.WriteLine("Certificate: " + cert.GetNameInfo(X509NameType.SimpleName, true) + " -> " + IsCertificateEV(cert));
return true;
}
如果有人知道实现此目标的更好方法,请告诉我们。
我想我会发布一个更完整的答案,即使这个问题已经很老了。我不会背弃现有的答案,这样这个答案就完成了。
EV 证书需要通过一些检查,以便浏览器认为该证书是 EV。
- 证书具有已知为 EV 策略的策略标识符。
- 证书的根指纹与固定的策略标识符匹配。
- 证书必须通过在线吊销检查。
- 如果证书的 notBefore(颁发日期)在 2015 年 1 月 1 日之后,则证书必须支持证书透明度。
- 证书必须由受信任的根颁发。
- 如果有多个信任路径,则所有链都是有效的。
让我们剖析其中的每一个。
策略标识符
证书有一个称为策略标识符的扩展。可以从X509Certificate2.Extensions
属性访问扩展。策略标识符扩展的对象标识符(“OID”)为2.5.29.32
. 因此,我们可以使用如下方式获取原始扩展:
var extension = certificate.Extensions["2.5.29.32"]
如果这返回 null,意味着根本没有策略,您可以立即假设这不是 EV 证书。
尽管证书有某种政策,但更有可能。在这种情况下,您需要对数据进行解码。该属性将以原始 ASN.1 形式提供给您,我们需要理解它。
不幸的是,.NET 中没有任何东西可以开箱即用。但是CryptDecodeObjectEx
,如果您使用平台调用,则可以这样做。这样做的细节我会省略,但是有很多信息可以展示如何调用这个函数。您需要在将 lpszStructType 参数设置为值的情况下调用它(IntPtr)16
。这将为您返回一个CERT_POLICIES_INFO
结构,该结构具有计数和指向结构数组的指针CERT_POLICY_INFO
。该结构上有一个名为 的字段pszPolicyIdentifier
。我们感兴趣的是这个策略 OID。
每个证书颁发机构都有一个或多个 OID,用于将证书制作为 EV。每个 CA 都会在其政策页面上记录它们。但是,获得最新列表的最佳位置可能是Chromium 的 Source Code。
如果证书具有与其中一个 OID 匹配的策略,那么我们可以继续进行下一个检查。
根指纹
如果您查看上述链接中的 Chromium Source,您会看到除了策略标识符之外,它还保留了根的 SHA256 指纹。
这是因为除了具有正确 OID 的证书之外,它还必须由其指纹匹配的 CA 颁发。在 Chromium 源代码中,我们看到如下内容:
{{0x06, 0x3e, 0x4a, 0xfa, 0xc4, 0x91, 0xdf, 0xd3, 0x32, 0xf3, 0x08,
0x9b, 0x85, 0x42, 0xe9, 0x46, 0x17, 0xd8, 0x93, 0xd7, 0xfe, 0x94,
0x4e, 0x10, 0xa7, 0x93, 0x7e, 0xe2, 0x9d, 0x96, 0x93, 0xc0}},
{
// AC Camerfirma uses the last two arcs to track how the private key
// is managed - the effective verification policy is the same.
"1.3.6.1.4.1.17326.10.14.2.1.2", "1.3.6.1.4.1.17326.10.14.2.2.2",
}
因此证书必须具有“1.3.6.1.4.1.17326.10.14.2.1.2”或“1.3.6.1.4.1.17326.10.14.2.2.2”策略标识符,但根必须具有上面看到的二进制文件的 SHA1 指纹.
这可以防止恶意 CA 使用它不拥有的策略 ID。
撤销检查
如果浏览器无法检查证书是否被吊销,则不会被视为 EV 证书。必须进行在线撤销检查,尽管客户端可能会缓存结果。
X509Chain.Build
您可以通过在调用之前在链上设置适当的标志来执行撤销检查Build
。
证书透明度
这个有点难检查,但谷歌在Certificate Transparency 网站上有相应的文档。如果证书是在 2015 年 1 月 1 日之后颁发的,则需要证书透明度。如Chromium Project Page所示,Chrome 还将某些证书列入白名单。
可信根
这个相当简单,但证书必须属于受信任的根。如果证书是自签名的,则不能是 EV。这可以在调用时再次检查X509Chain.Build()
。
多个信任路径
证书可能具有多个信任路径,例如证书是否由交叉签名的根颁发。如果有多个信任路径,则所有路径都必须有效。同样,必须对所有路径进行吊销检查。如果任何路径显示证书已被吊销,则证书无效。
不幸的是,据我所知,.NET 甚至 Win32 都没有很好的方法来检查所有证书链,甚至无法获得多个证书链。
综合所有这些,如果都通过了,那么该证书可以被认为是EV证书。