<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
Java使用openssl檢測網站是否支援ocsp
2022-07-11 18:01:30
簡介
OCSP線上證書狀態協定是為了替換CRL而提出來的。對於現代web伺服器來說一般都是支援OCSP的,OCSP也是現代web伺服器的標配。
但是OCSP stapling卻不是所有的web伺服器都支援。但是現實工作中我們可能需要知道具體某個網站對OCSP的支援程度。
支援OCSP stapling的網站
怎麼判斷一個web站點是否支援OCSP stapling呢?
最簡單的方法就是去第三方網站檢視網站的證書資訊。比如我們之前提到過的entrust.ssllabs.com,通過輸入對應的網站資訊,在
Protocol Details一節中,可以找到網站是否支援OCSP stapling的具體資訊,如下所示:
可以看到這個網站是開啟了OCSP stapling的。但是事實上這個世界上的絕大部分網站是沒有開啟OCSP stapling的。
那麼除了在第三方網站上檢視OCSP stapling之外,還有沒有其他辦法呢?
事實上我們可以使用openssl神器輕鬆的做到這一點。當然前提是這個網站支援https。
接下來我們會詳細講解從獲取伺服器的證書到驗證伺服器是否支援OCSP stapling的一整套流程。
本文要驗證的網站是微軟的官網www.squarespace.com,這是一個支援OCSP stapling的網站。
獲取伺服器的證書
要校驗伺服器是否支援OSCP,我們首先需要獲取到這個伺服器的證書,可以用openssl提供的 openssl s_client -connect來完成這個工作。
openssl s_client -connect www.squarespace.com:443
這個命令會輸出建立連線的所有內容,其中包含了要存取網站的證書資訊。
因為我們只需要網站的證書,所以需要把-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----之間的內容儲存即可。
那麼最終的命令如下:
openssl s_client -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > ca.pem
這裡我們使用一個sed -n命令從輸出中擷取以-----BEGIN開頭和以-----END結尾的資料。
最終我們得到了網站的證書。
除了網站本身的證書之外,網站的證書本身是由其他的證書來簽發的,這些證書叫做intermediate certificate,我們需要獲取到整個證書鏈。
同樣使用openssl的openssl s_client -showcerts命令可以獲取所有的證書鏈:
openssl s_client -showcerts -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > chain.pem
如果你開啟chain.pem檔案可以發現,檔案裡面有兩個證書,最上面的一個就是伺服器本身的證書,而第二個就是用於簽名伺服器證書的intermediate certificate。
獲取OCSP responder地址
如果證書中包含有OCSP responder的地址,那麼可以用下面的命令來獲取:
openssl x509 -noout -ocsp_uri -in ca.pem
我們可以得到網站的ocsp responder地址是:http://ocsp.digicert.com。
還有一種方法可以獲得ocsp responder的地址:
openssl x509 -text -noout -in ca.pem
這個命令會輸出證書的所有資訊,我們可以看到下面的內容:
Authority Information Access:
OCSP - URI:http://ocsp.digicert.com
CA Issuers - URI:http://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt
其中OCSP - URI就是OCSP responder的地址。
傳送OCSP請求
有了OCSP responder的地址,我們就可以進行OCSP驗證,在這個命令中我們需要用到伺服器的證書和intermediate證書。
具體的請求命令如下:
openssl ocsp -issuer chain.pem -cert ca.pem -text -url http://ocsp.digicert.com
從輸出中我們可以得到兩部分,第一部分是OCSP Request Data,也就是OCSP請求資料:
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 521EE36C478119A9CB03FAB74E57E1197AF1818B
Issuer Key Hash: 09262CA9DCFF639140E75867E2083F74F6EAF165
Serial Number: 120014F1EC2395D56FDCC4DCB700000014F1EC
Request Extensions:
OCSP Nonce:
04102873CFC7831AB971F3FDFBFCF3953EC5
從請求資料中,我們可以看到詳細的OCSP請求資料結構,包括issuer的內容和OCSP nonce。
第二部分是響應資料,很遺憾我們得到了下面的請求錯誤響應資料:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Produced At: Apr 30 04:36:26 2022 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
Cert Status: good
This Update: Apr 30 04:21:01 2022 GMT
Next Update: May 7 03:36:01 2022 GMT
上面返回結果中,Cert Status: good表示的是OCSP請求成功了,這個網站是一個支援OCSP協定的網站。
後面的兩行是OCSP上次更新的時間和下次更新的時間:
This Update: Apr 30 04:21:01 2022 GMT
Next Update: May 7 03:36:01 2022 GMT說明這個網站還支援OCSP stapling。
另外,請求某些網站的OCSP url的時候可能會得到下面的異常:
Error querying OCSP responder 4346349100:error:27FFF072:OCSP routines:CRYPTO_internal:server response error:/AppleInternal/Library/BuildRoots/66382bca-8bca-11ec-aade-6613bcf0e2ee/Library/Caches/com.apple.xbs/Sources/libressl/libressl-2.8/crypto/ocsp/ocsp_ht.c:251:Code=400,Reason=Bad Request
為什麼會這樣呢?
這是因為ocsp.msocsp.com這個網站不支援OCSP預設的HTTP 1.0請求,在HTTP 1.0請求中預設是沒有Host這個請求頭的。所以我們需要新增上Host請求頭,然後再執行一次即可。
一個更加簡單的方法
以上我們實際上是將請求拆開來一步步執行的。我們還可以使用openssl一步執行任務如下:
openssl s_client -tlsextdebug -status -connect www.squarespace.com:443
從輸出中,我們可以看到下面的資料:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Produced At: Apr 27 04:36:26 2022 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
Cert Status: good
This Update: Apr 27 04:21:02 2022 GMT
Next Update: May 4 03:36:02 2022 GMT
上面的命令直接輸出了OCSP response結果,從結果中我們很清楚的看到該網站是否支援OCSP和OCSP stapling。
總結
雖然大多數網站都不支援OCSP stapling,但是我們可以通過使用上面的命令來有效的進行判斷。
到此這篇關於Java使用openssl檢測網站是否支援ocsp的文章就介紹到這了,更多相關openssl檢測網站內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45