为了检查 google.com 的证书是否已被撤销,我尝试了以下命令:
curl https://www.google.com --cacert GeoTrust_Global_CA.pem --crlfile gtglobal.pem -v
,但我收到了可怕的“SSL 证书问题”错误:
* About to connect() to www.google.com port 443 (#0)
* Trying 81.24.29.91... connected
* successfully set certificate verify locations:
* CAfile: GeoTrust_Global_CA.pem
CApath: /etc/ssl/certs
* successfully load CRL file:
* CRLfile: gtglobal.pem
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
* Closing connection #0
curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html
我猜这个错误是不正确的,因为谷歌应该有一个有效的证书。
您知道如何发出 curl 命令来正确执行此操作吗?
更多细节
如果您想知道为什么我在 curl 命令中使用那些特定文件(GeoTrust_Global_CA.pem 和 gtglobal.pem),以下是我进行的操作:
- 我首先查看了颁发证书的 CAhttps://www.google.com。原来是 GeoTrust Global CA;
- 我从以下网站下载了 GeoTrust Global CA 根证书这里(这是 GeoTrust_Global_CA.pem 文件);
- 我从以下网址下载了相应的 CRL(证书吊销列表)这里(这是 gtglobal.pem 文件)。
答案1
显然,您不能仅通过一个简单的请求来验证网站。请参阅https://stackoverflow.com/questions/16244084/how-to-programmatically-check-if-a-certificate-has-been-revoked?lq=1以及 stackoverflow 上较早的相关问题。
curl 没有起作用证书吊销列表对我来说,无论是在 Windows 上还是在 Linux 上。为什么要使用卷曲?Openssl似乎更合适:
openssl s_client -connect www.google.com:443
我们得到
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
i:/C=US/O=Google Inc/CN=Google Internet Authority G2
1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
然后我们可以检查一些证书:
curl http://pki.google.com/GIAG2.crt | openssl x509 -inform der -text
grep crl在上面的命令的输出中。有趣的部分是:
X509v3 CRL Distribution Points:
URI:http://crl.geotrust.com/crls/gtglobal.crl
Authority Information Access:
OCSP - URI:http://gtglobal-ocsp.geotrust.com
现在我们可以手动检查 crl:
curl http://crl.geotrust.com/crls/gtglobal.crl | openssl crl -inform der -text
curl http://pki.google.com/GIAG2.crl | openssl crl -inform der -text
现在我们看到了已撤销证书的列表。恕我直言,使用 curl 是不够的,需要另一个程序来检查证书。通过执行简单的
strace curl https://www.google.com -v
我们看到 curl 没有检查撤销(甚至没有连接到相关位置)。它只是说
* Server certificate:
* subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=www.google.com
* start date: 2014-04-09 11:40:11 GMT
* expire date: 2014-07-08 00:00:00 GMT
* subjectAltName: www.google.com matched
* issuer: C=US; O=Google Inc; CN=Google Internet Authority G2
* SSL certificate verify ok.
答案2
curl 自 7.41.0 起有一个--cert-status选项,但它对我来说不起作用:
$ curl --cert-status https://www.google.com
curl: (91) No OCSP response received
看来它可能仅在服务器配置了 OCSP 装订时才有效,并且不会导致 curl 发出自己的 OCSP 请求。
我使用 openssl 的步骤取得了更好的成功https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html
获取证书:
$ openssl s_client -connect www.google.com:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > /tmp/google.pem
输出证书的 OCSP URI:
$ openssl x509 -noout -ocsp_uri -in /tmp/google.pem
http://ocsp.pki.goog/gts1o1
通过以下方式从 certs 1-n 输出构建 /tmp/chain.pem:
openssl s_client -connect www.google.com:443 -showcerts 2>&1 < /dev/null
将每个证书复制到 chain.pem 文件中,包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 以及其间的所有内容。不要包含第 0 个证书,因为它在 google.pem 文件中。
发出 OCSP 请求:
openssl ocsp -issuer /tmp/chain.pem -cert /tmp/google.pem -text -url http://ocsp.pki.goog/gts1o1
...
Response verify OK
/tmp/google.pem: good
This Update: Mar 24 12:40:59 2020 GMT
Next Update: Mar 31 12:40:59 2020 GMT
答案3
显然这是 Windows 上一个相当常见的问题,因为stackoverflow 上的这个问题显示。我特别指的是用户 Артур Курицын 的回答,为了方便您,我在此引用:
这是 Windows 中相当常见的问题。您只需设置
cacert.pem为即可curl.cainfo。从 PHP 5.3.7 开始你可以执行以下操作:
- 下载http://curl.haxx.se/ca/cacert.pem并将其保存在某处。
- 更新
php.ini--添加 curl.cainfo = “PATH_TO/cacert.pem”否则,您将需要对每个 cURL 资源执行以下操作:
curl_setopt ($ch, CURLOPT_CAINFO, "PATH_TO/cacert.pem");
还,本文也可能有用。
答案4
我发现其中一种工作方式与已经公开的其他方式类似,只是它将输出发送到dev/null并且使用起来相对较快。
curl -L -v -s https://www.google.de 1>/dev/null
# curl -L -v -s https://www.google.de 1>/dev/null
* About to connect() to www.google.de port 443 (#0)
* Trying 216.58.208.35...
* Connected to www.google.de (216.58.208.35) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=www.google.de,O=Google LLC,L=Mountain View,ST=California,C=US
* start date: Okt 23 16:53:00 2018 GMT
* expire date: Jan 15 16:53:00 2019 GMT
* common name: www.google.de
* issuer: CN=Google Internet Authority G3,O=Google Trust Services,C=US
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: www.google.de
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Mon, 12 Nov 2018 15:36:17 GMT
< Expires: -1
< Cache-Control: private, max-age=0
< Content-Type: text/html; charset=ISO-8859-1
< P3P: CP="This is not a P3P policy! See g.co/p3phelp for more info."
< Server: gws
< X-XSS-Protection: 1; mode=block
< X-Frame-Options: SAMEORIGIN
< Set-Cookie: 1P_JAR=2018-11-12-15; expires=Wed, 12-Dec-2018 15:36:17 GMT; path=/; domain=.google.de
< Set-Cookie: NID=146=4SDchvTa39-4IskdXfZpgjtm2ym5zzvHVx8g0v39Q1fiOzk26NQl1TGkFMllh_pg8bFWr6x4jG3ODYDWrkn6TXmd0Ewp4DC_N3p1NPlWqdBUfwFR_PTHIXRi8RuTxdA54w9Zr0uNyhN__5xjUdrCLZTLujNEQ2MV9EVwnmxux6o; expires=Tue, 14-May-2019 15:36:17 GMT; path=/; domain=.google.de; HttpOnly
< Alt-Svc: quic=":443"; ma=2592000; v="44,43,39,35"
< Accept-Ranges: none
< Vary: Accept-Encoding
< Transfer-Encoding: chunked
<
{ [data not shown]
* Connection #0 to host www.google.de left intact