[英]Different certificate chain order when using Node's HTTPS/TLS vs. OpenSSL s_client
我正在尝试使用Node的HTTPS请求解析证书链。 我在npmjs.com上测试它(不是www.npmjs.com)。 当我在OpenSSL上测试它时,它向我显示链的顺序不正确。
openssl s_client -connect npmjs.com:443 -showcerts
OpenSSL响应第一证书
subject: /OU=GT40876434/OU=See www.rapidssl.com/resources/cps (c)14/OU=Domain Control Validated - RapidSSL(R)/CN=*.npmjs.com
issuer: /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
下一个证书 - >
subject: /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
issuer: /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
下一个证书 - >
subject: /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
issuer: /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
但是,当我使用我的Node的HTTPS请求逐步浏览证书链时,在发出套接字时我会这样做
socket.getPeerCertificate(true)
链的顺序是正确的,我在Node请求上得到的证书与openssl请求上的证书不同。
节点的响应第一证书:
subject
{ OU:
[ 'GT40876434',
'See www.rapidssl.com/resources/cps (c)14',
'Domain Control Validated - RapidSSL(R)' ],
CN: '*.npmjs.com' }
issuer
{ C: 'US', O: 'GeoTrust Inc.', CN: 'RapidSSL SHA256 CA - G3' }
下一个证书 - >
subject
{ C: 'US', O: 'GeoTrust Inc.', CN: 'RapidSSL SHA256 CA - G3' }
issuer
{ C: 'US', O: 'GeoTrust Inc.', CN: 'GeoTrust Global CA' }
下一个证书 - >
subject
{ C: 'US', O: 'GeoTrust Inc.', CN: 'GeoTrust Global CA' }
issuer
{ C: 'US', O: 'GeoTrust Inc.', CN: 'GeoTrust Global CA' }
为什么会这样?
看起来节点正在重新排序证书以便在getPeerCertificates中返回,以便它们反映信任链(*)中的正确顺序。 但实际上证书的顺序是错误的,正如openssl s_client和SSLLabs分析中所见 :
Chain issues Incorrect order
(*)node-4.5.0(LTS)中的相关代码位于src/node_crypto.cc函数void SSLWrap<Base>::GetPeerCertificate 。 在那里,它使用SSL_get_peer_certificate (叶证书)和SSL_get_peer_cert_chain (链)从openssl库中检索叶证书和原始对等证书。 然后它不返回原始链顺序中的证书,而是扫描链并通过检查X509_check_issued按照它们彼此依赖的顺序添加证书。
这样,它以适当的依赖顺序返回证书,而不是由对等方发送的原始顺序。 它还会自动跳过任何不属于链的证书。
它也会添加证书的颁发者,即使它不包含在链中(通常不包含)。 这样,您不仅可以获得不同的证书顺序,如示例中所示,而且实际上是不同的证书。 服务器按此顺序发送以下证书:
[A] /OU=GT40876434/OU=See www.rapidssl.com/resources/cps (c)14/OU=Domain Control Validated - RapidSSL(R)/CN=*.npmjs.com
[B] /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA, issued by Equifax
[C] /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
但getPeerCertificate返回以下内容:
[A] /OU=GT40876434/OU=See www.rapidssl.com/resources/cps (c)14/OU=Domain Control Validated - RapidSSL(R)/CN=*.npmjs.com
[C] /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA - G3
[R] CA/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA, self-signed
因此,证书[B]将不包括在内,而是作为信任存储中包含的根证书的证书[R]。 两者都有相同的主题和密钥,但由不同的实体签名。 [B]由Equifax签署,而[R]是自签名的。
Node.js 说当 minVersion 设置为 1.3 并使用 1.3 与客户端连接时,它使用 tls1.2
[英]Node.js says it's using tls1.2 when minVersion set to 1.3 and connecting with a client using 1.3
使用 Let's Encrypt 证书通过 HTTPS 访问 CouchDB 时,节点无法验证第一个证书
[英]Node unable to verify the first certificate when accessing CouchDB through HTTPS with a Let's Encrypt certificate
如何使用基本身份验证和tls pfx证书的https客户端修复服务器连接?
[英]How to fix server connection using https client with basic auth and tls pfx certificate?
node.js和express-使用多个中间件与回调-最佳实践是什么?
[英]node.js and express - using multiple middlewares vs. callbacks - what's the best practice?
在Node.js模块中使用“导出”与“此”有什么区别?
[英]What's the difference between using “exports” vs. “this” in Node.js modules?
文件大小为0时从未调用Node.js https.request客户端的req.end()
[英]Node.js https.request client's req.end() never called when the file size is 0
来自使用客户端证书的节点服务器的https请求报告已过期的证书
[英]https request from node server using client certificate reports expired certificate
使用RapidSSL证书时,Node.js HTTPS服务器未响应
[英]Node.js HTTPS server not responding when using RapidSSL certificate
我怎么知道从我的node.js接收到TLS请求的HTTPS端点正在使用指定的SSL证书?
[英]How can I know that a HTTPS endpoint receiving a TLS request from my node.js is using a specified SSL certificate?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.