在 Mac,High Sierra 10.13.5 上,我发现 TLS 认证验证有所不同。访问https://www.visitflorida.com时,Chrome 和 Safari 对 TLS 验证感到满意。此外,curl 没有任何抱怨,我没有使用“-k”。但是,openssl 抱怨它在尝试 this 时找不到中间证书openssl s_client -connect www.visitflorida.com:443 < /dev/null | openssl x509 -subject -noout。我已经使用了基本的 openssl 和 brew-installed 一个。
我试图添加 -CAfile intermediate.pem(我从 TrustWave 下载了中间证书)。即使中间证书没有出现在我的 KeyChain 中的任何位置,我也已将我的 KeyChain System Roots 导出到一个文件中,并通过 -CAfile 进行了尝试。没有任何工作。我看到证书的唯一文件系统位置是 /etc/ssl/cert.pem,当我通过 -CAfile 指定它时,它仍然失败。
有人建议我的浏览器和 curl 对 TLS 验证的要求比 openssl 更宽松。真的是这样吗?我很难相信。谁能帮我解释这种行为?
顺便说一句,我知道这可以通过在 www.visitflorida.com 的 TLS 端点上包含中间证书和端点证书来解决。现在,如果我们能找到那个丢失的密钥文件!
浏览器快乐:
卷曲日志:
浏览器,如 Internet Explorer/Edge、Chrome 和 Safari,将查看 AIA 扩展的 caIssuer 字段以获取 URL,如果在 TLS 握手期间服务器未提供高级 CA 证书,它可以从该 URL 下载高级 CA 证书。
您网站的证书有一个 caIssuer 字段设置为
http://ssl.trustwave.com/issuers/OVCA2_L1.crt因此上述所有浏览器将从该 URL 下载它并使用它来构建链。OpenSSL 等命令行工具
s_client不会使用 caIssuer 下载此附加证书,因此您目睹了这种情况。如果您要尝试 Mozilla Firefox,您也会注意到同样的情况,因为 Mozilla 拒绝使用此扩展程序。caIssuer 字段最终掩盖了真正的问题,即糟糕的服务器管理员。 RFC 5246 第 7.4.2 节规定服务器必须发送
certificate_list由其自己的证书和任何中间 CA 证书组成的证书。