问题标签 [ocsp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 如何在 X509TrustManager 中启用 OCSP?
设置这些属性真的足以启用 OCSP 吗?
如果是这样,那为什么我们需要充气城堡 OCSP 支持而不是仅仅设置这个属性呢?
java - 如何测试 OCSP 实现?
为了测试 ocsp 实现,我需要一个 ocsp 响应器。是否有任何现成的响应者用于测试目的?或者有什么方法可以在本地主机上运行一些响应器?
java - 如果设置了适当的属性,X509TrustManagerImpl.checkServerTrusted() 是否会自行处理 OCSP?
在这里,我实现了 X509TrustManager 信任管理器,并尝试将适当的检查调用委托给在运行时找到的 x509 信任管理器。我的问题是我为OCSP设置的属性是否足以确保 Java 在验证证书链时也会执行 OCSP?换句话说,如果设置了属性,checkServerTrusted()方法会自行处理吗?
c# - 使用 itextsharp 签署 PDF:嵌入多个 OCSP 响应
我想用 itextsharp 签署 PDF 文件。从现在开始,我将 CRL 嵌入到签名中。这使我的 PDF 变得非常庞大。一个 300 KB 的 PDF 的大小超过了 1 MB。
所以我决定嵌入 OCSP 响应而不是 CRL。
这是特定的代码:
如果我是对的:为了获得启用 LTV 的签名,所有证书(根证书除外)的 OCSP 响应都必须嵌入到签名中。但是如果我使用上面的代码,只有签名证书的 OCSP 响应被嵌入到签名中。如果我在 Adobe Reader 中打开 PDF,则会在线检查 CA-Cert。所以签名不是 LTV 启用的。
谁能告诉我如何将多个 OCSP 响应嵌入到签名中?
非常感谢您的帮助!!
c - 如何在客户端处理传统的 OCSP 和 OCSP 装订
目前,我有一个实现,我在verify_callback(int preverify_ok, X509_STORE_CTX *x509_ctx)
函数中为每个中间和最终实体证书发送一个 OCSP 请求。使用verify_callback
函数设置SSL_CTX_set_verify()
函数。
现在,我想将 OCSP 装订添加到我的实现中。我在使用 OCSP 装订的客户端程序中看到了有关如何包含 OCSP 装订的帖子OpenSSL 证书吊销检查。
添加上述 OCSP 回调的问题是第verify_callback()
一个在 OCSP 装订回调函数之前被调用。
我的问题是我如何才能同时拥有它们,如果服务器没有 OCSP 装订响应,那么客户端将自己发送 OCSP 请求。
有没有办法在我们达到功能之前检查是否支持 OCSP 装订verify_callback()
?
ssl - 为什么我在运行 openssl ocsp 时收到验证错误:无法获取本地颁发者证书?
我正在尝试验证 OCSP 服务器上的客户端证书,但它失败了。
这是我试图运行的命令:
这是输出:
我检查了我的客户端证书中的颁发者与 test_ca_cert.pem 中的颁发者相同。
我究竟做错了什么?我怎样才能解决这个问题?
谢谢
security - 如何实际处理吊销证书的验证?
据我所知,应在证书链验证期间验证每个证书的吊销,以保护连接免受 MITM 攻击。
据我了解,出于这个原因,我应该使用 CRL/CRL deltas 或 OCSP。我是这个领域的新手,但即使在阅读了一些相关的 RFC(但不是那么仔细)之后,我也不知道如何实际使用/检查撤销。
什么样的协议被广泛用作 OCSP“传输层”——我只知道 HTTP——还有其他有竞争力的替代方案,现代客户端应该支持哪些?
如果我理解正确,CA 将在每个证书中指向可以找到 CRL 的位置(根 CA / 自签名除外)(在“CRL 分发点”列表中?),所以要实现严格的客户端,我应该在证书链握手期间下载 CRL。我知道可以为此目的使用 HTTP 和 LDAP - 还有其他有竞争力的替代方案,现代客户端需要支持吗?用于此目的的 LDAP 仍然很常见(或者这可能只是遗留问题)?
是否以 CRL 方式检测它的有效期,所以我可以以某种方式缓存它以进行进一步的连接吗?
是否有实用的方法可以使用 CRL“离线”工作?据我了解,要让它正常工作,我应该为世界上每个可能的 CA 下载(和更新)CRL,这比“在线”这样做需要更多的资源/努力。
典型的证书链有多深?例如。例如,链中可能有超过 10 个证书?
boost asio 是否以某种方式原生支持 CRL 和/或 OCSP?我需要自己做这个吗?
botan 如何为证书链实施 CRL“在线”验证?也许它是开箱即用的(因为实施了 OCSP)?
这两种方法都应该支持,或者大多数 CA 使用 OCSP 并且 CRL 仅由他们定义,仅出于旧版 sw 支持的原因?如果我只想连接到 95% 的服务器,那么我只需要实现 OCSP 而不关心 CRL 并拒绝使用 OCSP 无法验证的证书吗?或者也许对 OCSP 的支持相对较少?我发现 ocsp 支持 EV 证书,但不支持 OV 和 DV。真的吗?
也许我应该通过 OCSP 和 CRL 检查撤销。一个“首选”可用就足够了,还是我都需要?
c++ - 在 openssl 中正确使用 OCSP_basic_verify()?
我一直在引用https://github.com/openssl/openssl/blob/master/apps/ocsp.c来创建我自己的 OCSP 实现,并在我从 OCSP 响应者那里收到 OCSP 基本响应后验证它。但不知何故,我运行的每次迭代,我都会不断收到错误error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:138:Verify error:unable to get issuer certificate
。请注意,我有要验证的证书和颁发者证书的 X509 数据,我正在使用以下代码来验证响应:
对于上面的代码,我一直得到ret_val
0 并且上面提到的错误正在被记录。但是,我从 OCSP 响应者那里得到了正确的响应,并且证书状态良好。唯一剩下的就是修复对OCSP_basic_verify
. 有人可以指出我可能出错的地方吗?谢谢。
linux - OCSP 响应程序测试错误:错误的主机名查找
在对 Ubuntu 上运行的 nginx Web 服务器进行更改时,我测试了 nginx 配置并收到以下警告:
nginx:[警告]“ssl_stapling”被忽略,在 OCSP 响应程序“ocsp.int-x3.letsencrypt.org/”中找不到主机
几个月前我设置了 Web 服务器,并且一直在更新 nginx 配置,直到昨天才看到这个警告。
我开始四处寻找并使用 openssl 测试 OCSP。
我运行了以下命令:
结果如下
该网站似乎工作正常。
我找不到有关该错误的太多信息。我不知道发生了什么变化。
谢谢。
java - 如何在 OCSP 请求中使用代理
我需要使用 OCSP 使用 http 代理验证 X509 证书。这是我的代码:
我知道,我可以使用 System.setProperty("http.proxy", "...") 设置代理,但我只需要为我的请求设置它,而不是为整个系统设置它。