Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Rust 1.96.0

včera 00:22 | Nová verze

Byla vydána verze 1.96.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

Společnosti IBM a Red Hat představily Project Lightwell

28.5. 20:33 | IT novinky

Společnosti IBM a Red Hat představily Project Lightwell s investicí 5 miliard dolarů. Jedná se o důvěryhodné clearingové centrum pro bezpečnost open source softwaru a zabezpečení dodavatelských řetězců s novým AI modelem a globální skupinou více než 20 000 softwarových inženýrů. Služby centra budou dostupné prostřednictvím komerčních předplatných. Project Lightwell staví na iniciativách jako Anthropic Glasswing nebo OpenAI Trust Access for Cyber.

Ladislav Hagara | Komentářů: 1

Open 3D Engine (O3DE) 26.05

28.5. 18:22 | Nová verze

Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 26.05. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Stát by mohl mít vlastní komunikační aplikaci

28.5. 11:44 | IT novinky

Český stát by v budoucnu mohl provozovat vlastní alternativu ke komunikačním aplikacím typu WhatsApp, Signal, Telegram, Facebook Messenger a podobně. Cílem je zajistit bezpečnou datovou komunikaci pro stát a jeho důležité subjekty, jako jsou bezpečnostní složky, ministerstva a další organizace.

Ladislav Hagara | Komentářů: 23

Registrujte se na konferenci Den IPv6, bude už za týden

28.5. 11:22 | Pozvánky

Už za týden, ve čtvrtek 4. června, se v Národní technické knihovně v pražských Dejvicích uskuteční další konference věnovaná tématům spojeným s IPv6 - Den IPv6. Program akce a registrační formulář jsou k dispozici na webu akce. Kapacita konference je omezená, proto organizátoři doporučují, aby se vážní zájemci přihlásili včas (k dnešnímu dni zbývá přibližně 30 volných míst). Konferenci Den IPv6 2026 organizují i letos společně sdružení CESNET, CZ.NIC a NIX.CZ.

VSladek | Komentářů: 1

Steam Deck je znovu skladem a má novou cenu

28.5. 05:22 | IT novinky

Zařízení Steam Deck OLED bylo znovu naskladněno, ale vlivem rostoucích cen pamětí a úložišť má novou, vyšší cenovku. Steam Deck OLED 512 GB stojí nově 779 EUR (stál 569 EUR) a Steam Deck OLED 1 TB stojí 919 EUR (stál 679 EUR). Samotné zařízení se nijak nezměnilo a nové ceny tedy pouze odráží aktuální náklady na komponenty a další globální logistické výzvy, se kterými se potýká celá branže.

Ladislav Hagara | Komentářů: 0

ČTÚ otevírá pásmo 26 GHz pro moderní bezdrátové sítě

27.5. 22:22 | IT novinky

Český telekomunikační úřad zahajuje novou etapu využívání vysokofrekvenčního rádiového spektra v pásmu 26 GHz. Toto pásmo bude od 1. 7. 2026 otevřeno pro provoz moderních bezdrátových sítí, zejména sítí páté generace (5G), pevných bezdrátových přístupových sítí (FWA) a lokálních či průmyslových sítí určených například pro výrobní areály, logistická centra nebo technologické kampusy. Současně s otevřením pásma 26 GHz přistoupil ČTÚ ke zpřístupnění informací o využívání rádiových kmitočtů v tomto pásmu.

Ladislav Hagara | Komentářů: 9

Logitech představil řadu Signature Comfort Plus

27.5. 22:11 | IT novinky

Logitech představil myš Signature Comfort Plus M850 L s polstrovanou opěrkou dlaně pro větší pohodlí a sadu s touto myší a klávesnicí s integrovanou opěrkou dlaní Signature Comfort Plus Combo MK880.

Ladislav Hagara | Komentářů: 1

Novinky a plány Murena a /e/OS

27.5. 16:33 | IT novinky

Gaël Duval se rozepsal o novinkách a plánech Murena a /e/OS. Počet uživatelů telefonů Murena a mobilního operačního systému /e/OS bez aplikací a služeb od Googlu se blíží 100 000. Ambicí je, aby se /e/OS stal třetí mobilní platformou v Evropě i na světě, s potenciálem dostat se i na PC. Blíží se vydání nové verze 4 s funkcemi zálohování a obnova, import e-mailů z Gmailu a rozpoznávání hlasu. Murena Workspace přinese videohovory, elektronický podpis a správu zařízení (MDM).

Ladislav Hagara | Komentářů: 4

Ubuntu Summit 26.04

27.5. 15:22 | Komunita

Dnes a zítra probíhá Ubuntu Summit 26.04. Na programu je řada zajímavých přednášek. Sledovat je lze na YouTube. Úvodní slovo měli Mark Shuttleworth a Jon Seager.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / TLS - bol použitý client certificate?

Štítky: bez, certifikat, IDE, Internet, klient, OpenSSL, server, TLS, 500

Dotaz: TLS - bol použitý client certificate?

29.8.2018 13:54 Semo | skóre: 45 | blog: Semo
TLS - bol použitý client certificate?

Přečteno: 366×

Odpovědět | Admin

Ladíme closed-source serverovú aplikáciu, ku ktorej sa klient pripája HTTPS/TLS spojením a autentikuje klienstkým certifikátom. Keďže ide o centrálneho správcu hesiel, tak buď sa spojenie podarí alebo skončí na "HTTP/1.1 500 Internal Server Error". Z neznámeho dovodu loguje málo alebo vobec (to rieši sa s dodávateľom).

Spojenie z klienta dokážem simulovať pomocou openssl

openssl s_client -connect <SERVERFQDN>:443 -CAfile CA-certs.pem -prexit -servername <SERVERFQDN> -no_ticket -state -cert cert.pem -key key.pem

Nedokážem ale z výstupu určiť či bol vyžiadaný/poslaný klienstký certifikát alebo nie. Výstup sa líši len v nevýznamých častiach oproti volaniu bez optionov "-cert" a "-key".

Ako mám zistiť či bol poslaný klientský certifikát?

If you hold a Unix shell up to your ear, you can you hear the C.

Řešení dotazu:

Komentář #3 (ttt, 2 hlasů)
Komentář #6 (Semo, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

29.8.2018 14:02 NN
Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?

Pridal bych parametr '-state' a v krajnim pripade '-debug'. Imho pokud server vraci 500 ta aplikace/nginx whatever nebude uplne v poradku..

29.8.2018 15:46 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?

"-state" tam uz je. Debug len vypisuje dumpy posielanych dat. Mozno sa z tych dumpov da odvodit odpoved ale podla coho v tych dumpoch to mam spoznat? "500 Internal server error" je umyselne univerzalna reakcia na kazdu chybu, aby z toho neslo nic odvodit. Ide o "bezpecnostnu" aplikaciu. Proste bud je request OK a po tom odpoveda HTTP 200 a posiela XML data, alebo inak HTTP 500.

Na https://badssl.com/ su pripravene testovacie virtual hosty na vsetky mozne pokusy okolo SSL/TLS a da sa tam hrat aj s client certificates. Tam to aj vidno, ze sa komunikacia lisi ak bol predhodeny client cert alebo nie. Ale oni to maju asi vzorovo a priatelsky nakonfigurovane. Odpovedat na otazku, ci ku TLS spojeniu bol prilozeny client certificate by snad malo byt mozne aj bez spoluprace servera. Klient to predsa musi vediet, ci nejaky certifikat posielal alebo nie.

Ukazky pre badssl.com (heslo pre private key je "badssl.com"):

# s client cert
 openssl s_client -connect client.badssl.com:443 -prexit -cert badssl.com-client.pem -servername client.badssl.com -no_ticket -state

# bez client cert
openssl s_client -connect client.badssl.com:443 -prexit -servername client.badssl.com -no_ticket -state

Pri pouziti client cert vo vypise pribude riadok

SSL_connect:SSLv3/TLS write certificate verify

(Uvedene priklady by este mali mat option "-CAfile" so zoznamom CA pre overenie servera, ale na strucnu ukazku to nie je nevyhnutne)

Lenze zaroven vidno, ze server poslal "Acceptable client certificate CA names", co je zoznam CA, pomocou ktorych podpisany client cert bude akceptovat. Co sa hodi pre pripad, ze klient ma plno certifikatov a nevie, ktory ma poslat (nijak vynimocne, ak je klientom bezny www browser).

V mojom pripade ale viem, ktory client cert chcem poslat a tusim server zoznam oblubenych CA posielat nemusi. Takze v mojom prpade neviem, ci bol client cert poslany a ani ako to zistit.

If you hold a Unix shell up to your ear, you can you hear the C.

Řešení 2× (Semo (tazatel), Filip Jirsák)

29.8.2018 16:16 ttt
Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?

Pokud server vyžaduje klientský certifikát, musí si o něj říct. V požadavku může poslat oblíbené CA. Každopádně -debug nebo -msg vypisují hexdump toho, co se posílá. Certifikát je dost velký, v tom hexdumpu by nemělo být tak těžké najít, jestli tam je nebo ne.

Řešení 1× (Filip Jirsák)

30.8.2018 13:44 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?

Tak po zapnuti "-msg" vidno, ci sa posiela klientsky certifikat:

...

>>> ??? [length 0005]
    16 03 03 04 ab
>>> TLS 1.2Handshake [length 04ab], Certificate
    0b 00 04 a7 00 04 a4 00 04 a1 30 82 04 9d 30 82
    02 85 a0 03 02 01 02 02 09 00 f0 bb 28 c1 63 7e
...
    d2 a2 fd 76 e1 65 54 7b 45 88 f8 28 2a b1 1d 25
    a3 55 50 be cd 1b da 69 17 ca 51
SSL_connect:SSLv3/TLS write client certificate

...

Ak sa neposiela, tak to vyzera takto:

...

>>> ??? [length 0005]
    16 03 03 00 07
>>> TLS 1.2Handshake [length 0007], Certificate
    0b 00 00 03 00 00 00
SSL_connect:SSLv3/TLS write client certificate

...

Este krajsie to vidno ak sa pri kompilacii OpenSSL zapne "enable-ssl-trace" a pri pustani s_client sa prida option "-trace". Pravdepodobne to ale znamena vlastnu kompilacii OpenSSL, pretoze to tusim nie je default.

Pri "-trace" je vo vypise info o posielanom certifikate a potom aj cely certifikat jak v parsovanej forme, tak aj v BASE64

...

Sent Record
Header:
  Version = TLS 1.2 (0x303)
  Content Type = Handshake (22)
  Length = 1195
    Certificate, Length=1191
      certificate_list, length=1188
        ASN.1Cert, length=1185
------details-----
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f0:bb:28:c1:63:7e:c9:57
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = California, L = San Francisco, O = BadSSL, CN = BadSSL Client Root Certificate Authority
        Validity
            Not Before: Nov 16 05:36:33 2017 GMT
            Not After : Nov 16 05:36:33 2019 GMT
        Subject: C = US, ST = California, L = San Francisco, O = BadSSL, CN = BadSSL Client Certificate
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c7:37:5f:11:eb:1e:4e:cf:eb:ba:48:e5:cb:a3:
                    12:2c:73:3e:46:1d:1e:9c:0d:c0:8b:83:23:da:c7:
...
         be:cd:1b:da:69:17:ca:51
-----BEGIN CERTIFICATE-----
MIIEnTCCAoWgAwIBAgIJAPC7KMFjfslXMA0GCSqGSIb3DQEBCwUAMH4xCzAJBgNV
...
Ioacp9qb0qL9duFlVHtFiPgoKrEdJaNVUL7NG9ppF8pR
-----END CERTIFICATE-----
------------------

SSL_connect:SSLv3/TLS write client certificate

...

Ak client certificate posielany nebol, tak :

...

Sent Record
Header:
  Version = TLS 1.2 (0x303)
  Content Type = Handshake (22)
  Length = 7
    Certificate, Length=3
      certificate_list, length=0

SSL_connect:SSLv3/TLS write client certificate

...

If you hold a Unix shell up to your ear, you can you hear the C.

30.8.2018 09:23 MP
Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?

Divil by ses. Napr. SOAP vraci 500 jako OK a pak to webserver jen preda.

30.8.2018 11:54 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: TLS - bol použitý client certificate?

Toto je SOAP API ku CyberArk-u a HTTP 500 pouziva na signalizovanie akejkolvek chyby. Ked sa clovek nedohovori s predradenym MS IIS, tak dostava obvykle HTTP 403, ak je IIS spokojny, tak to forwarduje applikacii pod nim a ta bud posle odpoved alebo HTTP 500.

If you hold a Unix shell up to your ear, you can you hear the C.

Založit nové vlákno • Nahoru

Tiskni Sdílej: