预置吊销信息至chromium83---判断服务器访问的证书是否被吊销

最新推荐文章于 2023-08-16 18:09:23 发布
最新推荐文章于 2023-08-16 18:09:23 发布
阅读量474 收藏
点赞数
分类专栏: chromium高级编程 文章标签: 证书吊销 ca吊销
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arv002/article/details/109615108
版权
本文介绍了在Chromium83中预置吊销信息的方法,包括CRL和OCSP校验过程。通过下载证书,获取公钥哈希值,然后在代码中添加到crlset,并重新编译运行,实现证书吊销的判断。同时,详细阐述了CRL校验的六个步骤和OCSP校验的两个步骤,指出OCSP校验可能存在的服务器通信问题。
摘要由CSDN通过智能技术生成

目录

第一步:下载证书。

第二步、获取 公钥的hash值

第三步、重新编译运行。

扩展

crl校验过程,

第一步 获取证书:

第二步 获取crl分发地址

第三步 下载crl文件

第四步 将   CRLs文件转化为pem格式

第五步 合并中间证书和CRLs文件

第六步 开始校验

OCSP 校验过程

第一步 获取OCSP地址

第二步 校验ocsp

 

    测试:“嘿嘿,我又发现了一个BUG,这个证书明明已经被吊销了为啥没有吊销提示!”
    “好吧,我看看”,心里想证书吊销不是自动判读的吗?难道还会和证书有关,自己测试了一把,我去还真是认为是没有被吊销的。
    经过查看,发现如果是正常的判断,也就是我们目前使用的证书技术的确是自动判断的,只要能上网就能通过证书序列号判断这个证书的吊销状态。
    但是,chromium浏览器默认使用了自己的吊销判断也就是crlset,刚开始接触chromium证书吊销的时候在代码中看到了crlset还是以为用的是crl,我们最常用的两种方式ocsp和crl来做吊销判断。
    原来chromium浏览器将吊销证书放置与代码中(我去,静态的!!!那我怎么知道有哪些是吊销的?只能一个一个加到代码中,这样的设计会不会有点太low呀,也不知道chromium怎么想)

    我们来看是如何加入到代码中的吧。

系统版本:UOS

需要工具:uos浏览器

第一步:下载证书。

    随便一个浏览器打开被吊销的网站:例如:https://revoked.badssl.com/

第二步、获取 公钥的hash值

执行命令:获取16进制数据

 openssl x509 -in revoked.badssl.com -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -c | awk '{print "0x" $2}' | sed 's/:/, 0x/g'

解释一下,大概的意思就是将公钥从证书中获取出来| 然后转化为二进制der格式 | 然后使用sha256哈希算法获取 |  一段16进制字符串  | 然后将字符串中的":"替换车给你“, 0x”

 

将revoked.badssl.com 修改为你下载的证书名字,就可以了。然后就获取一段16进制的数据。

0xc6, 0x91, 0x0d, 0x0b, 0xa9, 0xed, 0xdf, 0x59, 0x33, 0x34, 0x14, 0x9f, 0xed, 0xfe, 0x87, 0x38, 0x5f, 0x37, 0xb6, 0x25, 0x35, 0x4b, 0xb4, 0x39, 0x5c, 0x0a, 0xe2, 0xc8, 0xdf, 0x48, 0xe1, 0x7c

cert_verify_proc_blocklist.inc添加到 kSPKIBlockList变量中。

第三步、重新编译运行。

注意清空缓存,你会发现浏览器就会出现提示他的证书被吊销了。

 


扩展

我们知道crl是通过下载吊销列表,然后进行对比,如果找到了该证书的序列号就表明该证书已经被吊销,那么他是如何校验的呢?我们手动的来测试一把。

crl校验过程,

测试网站:https://revoked.badssl.com/

第一步 获取证书:

获取网站证书和中间证书。

网站证书保存名字为:www_cert.pem

中间证书保存名字为:www_chain.pem

第二步 获取crl分发地址

openssl x509 -in www_cert.pem -noout -text | grep crl

获取crl地址

第三步 下载crl文件

wget http://crl3.digicert.com/ssca-sha2-g6.crl  -O gn.crl

第四步 将   CRLs文件转化为pem格式

openssl crl -inform DER -in gn.crl -outform PEM -out crl.pem

第五步 合并中间证书和CRLs文件

cat www_chain.pem crl.pem > crl_chain.pem

第六步 开始校验

openssl verify -crl_check -CAfile crl_chain.pem www_cert.pem

输出结果如下

C = US, ST = California, L = Walnut Creek, O = Lucas Garron Torres, CN = revoked.badssl.com
error 23 at 0 depth lookup: certificate revoked
error www_cert.pem: verification failed

可以看到该证书显示是被吊销的,操作过程中我们需要下载CRLs文件,随着时间推移这个文件会越来越大,因此在校验的时候会比较费时。不推荐。

 

OCSP 校验过程

第一步 获取OCSP地址

openssl x509 -in www_cert.pem -noout  -ocsp_uri

输出结果:http://ocsp.digicert.com

第二步 校验ocsp

openssl ocsp -issuer www_chain.pem -cert www_cert.pem -CAfile www_chain.pem -no_nonce --text -url http://ocsp.digicert.com -header Host=ocsp.digicert.com

输出结果如下:

OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 105FA67A80089DB5279F35CE830B43889EA3C70D
          Issuer Key Hash: 0F80611C823161D52F28E78D4638B42CE1C6D9E2
          Serial Number: 0371B58A86F6CE9C3ECB7BF42F9208FC
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: 0F80611C823161D52F28E78D4638B42CE1C6D9E2
    Produced At: Nov 15 10:38:51 2020 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 105FA67A80089DB5279F35CE830B43889EA3C70D
      Issuer Key Hash: 0F80611C823161D52F28E78D4638B42CE1C6D9E2
      Serial Number: 0371B58A86F6CE9C3ECB7BF42F9208FC
    Cert Status: revoked
    Revocation Time: Oct  7 20:30:39 2019 GMT
    This Update: Nov 15 10:38:51 2020 GMT
    Next Update: Nov 22 09:53:51 2020 GMT

    Signature Algorithm: sha256WithRSAEncryption
         b0:f1:42:fb:64:e1:d6:e9:e3:fb:e6:fd:7f:57:47:80:ad:83:
         ce:38:f4:bc:e4:0c:23:ee:1d:d0:8e:05:c1:63:3e:1b:13:f4:
         54:47:c3:1d:58:d0:17:d2:76:5d:26:cd:8a:a3:4b:51:c2:cb:
         24:b7:b4:d8:26:7e:1d:32:a1:08:26:e3:3e:7b:10:52:ec:96:
         1f:52:a3:e4:51:8b:22:98:70:b2:64:e6:1f:68:a1:31:8f:7d:
         42:0b:5b:c6:e7:a4:62:ae:de:46:ef:a8:ff:d2:95:71:55:ad:
         ad:eb:0f:82:df:94:1a:3e:fa:31:47:46:20:76:e1:ef:be:ee:
         fc:76:59:2b:6b:c4:f9:ad:82:91:7c:29:28:4e:45:70:0e:ed:
         bd:8b:bd:63:26:a6:7e:d3:10:1d:4c:a0:4f:9a:c4:11:e0:c3:
         26:3e:c5:b4:19:77:92:58:0a:92:7f:e6:42:0a:65:6a:a4:01:
         b7:67:59:cd:cc:97:a1:22:a9:00:2a:59:42:41:ee:b0:bd:b8:
         5f:7e:07:ee:42:98:ab:27:68:83:c8:9f:91:b8:0b:b2:a9:37:
         18:94:7b:00:03:75:2a:3d:2d:0c:d6:cf:04:80:3b:a3:11:fc:
         7c:ab:da:b1:d8:c9:86:33:7f:7f:77:43:0d:50:f5:fd:01:ee:
         d4:05:ed:62
Response verify OK
www_cert.pem: revoked
        This Update: Nov 15 10:38:51 2020 GMT
        Next Update: Nov 22 09:53:51 2020 GMT
        Revocation Time: Oct  7 20:30:39 2019 GMT

ocsp需要能于ocsp服务器进行通信才能校验。

校验OCSP 封装

服务器不支持

openssl s_client -connect revoked.badssl.com:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i ocsp

输出

OCSP response: no response sent

 

 

三雷科技
关注
专栏目录
【最新版】Chromium_OSX_83.0.4103.61.dmg【亲测可用】最好的浏览器
06-04
Chromium OS X稳定的FreeSMUG构建 Chromium是一个开放源代码的浏览器项目,旨在为所有Internet用户构建更安全,更快,更稳定的方式来体验Web。
ie检查服务器证书吊销,检查服务器证书吊销选项在哪里?服务器证书无效怎么办?...
weixin_39631350的博客
07-29 765
我们现在基本上每天都离不开电脑,不管是生活还是工作,基本上都需要用到电脑,所以说我们对网络的知识都要有一定的了解。那么对于服务器证书有时候很多人都不是特别的了解,给大家讲一下检查服务器证书吊销选项在哪里? 大家一定要认真的阅读以下文章,一定可以帮助到大家。一、检查服务器证书吊销选项在哪里首先我们就可以用快捷键win加r打开运行。然后输入gpedit.msc打开计算机的本地组策略编辑器, 然后再打开...
CEF 83.3.9 which includes Chromium 83.0.4103.61_Release_GN_x86
05-25
Windows 32位版本的CEF3库83.3.9。Chromium版本:83.0.4103.61。编译时加入ffmpeg支持,可以播放mp3, mp4, 支持h.264/aac。可以自己访问html5test.com验证。64位及含pdb文件的请去百度盘下载。 百度盘:链接: 链接: https://pan.baidu.com/s/19mlLmFgyH8JsxTAMf7zgXw 提取码: shge
有关chromium浏览器 ios 读证书 验证证书 (注没有找到方法),在这里做一下笔记
liuyan20092009的专栏
08-19 3154
最近看了一下chromium浏览器代码,想找到 ios平台有关读证书验证证书的接口,最终没有找到,但有发现一些证书相关的接口,不知道以后会不会用到,在这里做一下笔记。 如果你看到这篇文章,知道在ios平台有关读证书验证证书的一些信息,希望分享一下! chromium浏览器证书操作公用部分路径: ../src/net/cert/ 此路径下cert_status_flags_li
你不在意的HTTPS证书吊销机制
weixin_45583158的博客
10-30 1158
现任美团安全部技术专家,十年以上互联网产品研发经验,专注于分布式系统架构设计,目前主要从事安全防御产品研发工作。缘起偶刷《长安十二时辰》,午睡时,梦到我穿越到了唐朝,在长...
chromium-linux.zip
10-06
"chromium-linux.zip" 是一个包含了 Chromium 浏览器针对 Linux 操作系统的源代码压缩包。Chromium 是 Google Chrome 浏览器的开源版本,它为开发者提供了浏览器的基础架构,以便进行定制和改进。这个压缩包主要是...
puppeteer-chromium-resolver:更快解决木偶和Chrome的工具
04-30
npm install puppeteer-chromium-resolver --save 用法 [异步]动态检测和下载Chrome ( async ( ) => { const PCR = require ( "puppeteer-chromium-resolver" ) ; const option = { revision : "" , ...
balena-chromium-kiosk:BalenaOS基于BalenaCloud的信息亭,在RaspberryPi上使用Chromium
02-05
在Balena-chromium-kiosk项目中,Chromium被配置为全屏无边栏的“信息亭”模式,这样可以确保用户只能访问预设的网页或应用,避免了误操作或其他不必要的干扰。 项目的实施步骤通常包括以下部分: 1. **环境准备**...
ungoogled-chromium-archlinux:用于ungoogled-chromium的Arch Linux打包
04-07
ungoogled-chromium-archlinux 用于Arch Linux包装。 资料下载 在AUR中,有多种无谷氨酸Chrome口味: ungoogled-chromium :常规的ungoogled-chromium ungoogled-chromium-git :ungoogled-chromium,但使用上游...
docker-chromium:具有Chrome桌面和Web VNC客户端的docker容器,可让您在拥有的任何服务器上运行Chrome
05-11
用于Chromium的Docker容器 这是Chromium的Docker容器。 可通过现代Web浏览器(无需在客户端上进行安装或配置)或任何VNC客户端来访问应用程序的GUI。 非常感谢@jlesage。 该图像基于 表中的内容 取消RAID 用户/...
将SM2根证书预置chromium
scribbler的专栏
08-16 1153
最近花了很多精力在做chromium的GmSSL适配,协议和算法都已经完成,这篇文章是关于将SM2根证书预置chromium
阿里云推送证书验证失败
邪人君子的博客
04-20 1220
使用阿里云推送或者是用到推送的模块时,通常我们都需要上传我们的推送证书,包括:开发环境的推送证书和生产环境的推送证书。 有时候我们上传生产证书的时候,会出现如下错误: 但是我们确定我们的推送证书配置没有问题,此时,你的问题可能是导出文件出错了: ...
Chromium编译(83.0.4103.0版本)
chenyijun的专栏
04-11 1828
编译环境按这个官方文档来,不然很容易报错, 1.按官方的配置要求安装VS2019 SDK版本10.0.18362.0 (之前我的电脑装的是VS2017结果编译的时候报#error Windows 10.0.18362.0 SDK or higher required.) ...
chromium引发的crash
鸿儒客栈
04-20 3781
chromium作为浏览器架构,除提供给浏览器做渲染引擎之外,还作为android平台上webview的主要构成部分,提供给包括浏览器等诸多web app作为数据加载及渲染只用;经常遇到某第三方软件调用webview过程中出现crash,如下一例做参考,调试定位native webview 的crash。遇到一个crash问题,第三方应用com.whty.wicity.china, monkey过...
Chrome浏览器的证书管理
热门推荐
千里孤行的部落
02-17 2万+
 Chrome浏览器的证书管理  作者:千里孤行(http://blog.csdn.net/yanghehong) 当浏览HTTPS开头的网站时,网站的服务器会发一个数字证书过来,浏览器和人需要对其做有效性验证。这个过程中,需要从本地的证书库里头找出证书的颁发机构(certificate authority ,CA)的证书来对网站服务器证书验证。这些CA证书是浏览
chrome导入证书及查看证书有效期
shengnan_only的博客
10-09 1万+
      1、打开chrome,点击右上角的选项图标,找到设置并点击设置;        2、点击高级;    3、点击列表选项中的管理证书:      4、点击导入-下一步:     5、按照1、2、3步骤完成导入:     6、导入完成后,双击导入发证书,查看证书有效期:   完成!! 若有不正确,请留言!!...
chromium关闭更新_微软的Chromium新提议:表单自动填充挂钩系统认证
weixin_35450313的博客
12-18 117
想象下这样一个场景:你让朋友使用你的电脑和网页浏览器,当朋友填写一些在线表单数据时候,浏览器会尝试自动完成信息。这样在未经你许可的情况下,你的信息(例如电子邮件和用户名称)将会以自动填充的方式显示。尽管在允许他人使用你的电脑之前清除这些自动填充的信息,但是微软表示这个问题已经受到了很多用户的关注。用户还担心有人在未经允许的情况下,通过自动填充行为访问其账户。例如,如果您在浏览器中保存了社交媒体网站...
解决一次由于SSL证书到期导致的网站不能访问的问题(Nginx,php,Apache)
黄树茂博客
12-28 1万+
1. 现象 放假期间收到zabbix报警,提示主站访问不了,报502。 2.排查思路及过程 因为是过年休息,放假前又没有更新,基本可以排除是更新和配置导致的问题。ssh连上服务器发现服务器连接和资源都没问题。这是一套lnamp架构的网站,就是nginx反向代理到Apache,所以考虑是Apache的问题,于是重启httpd服务。 重启httpd服务的时候启动失败,没有看到错误,...
chromium-args
最新发布
09-26
chromium-args 是一个启动 Chromium 浏览器时可以使用的命令行参数。通过提供这些参数,可以对浏览器的行为进行定制化配置。下面是一些常用的 chromium-args 参数: 1. `--proxy-server=host:port`:指定代理服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三雷科技

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值