本篇文章為大家帶來了關於java的相關知識,OCSP線上憑證狀態協定是為了替換CRL而提出來的;對於現代web伺服器來說一般都是支援OCSP的, OCSP也是現代web伺服器的標配,下面一起來看一下,希望對大家有幫助。
推薦學習:《java影片教學》
OCSP線上憑證狀態協定是為了取代CRL而提出來的。對於現代web伺服器來說一般都是支援OCSP的,OCSP也是現代web伺服器的標配。
但是OCSP stapling卻不是所有的web伺服器都支援。但現實工作中我們可能需要知道特定某個網站對OCSP的支援程度。
支援OCSP stapling的網站
怎麼判斷一個web網站是否支援OCSP stapling呢?
最簡單的方法就是去第三方網站查看網站的憑證資訊。例如我們之前提到的entrust.ssllabs.com,透過輸入對應的網站信息,在
Protocol Details一節中,可以找到網站是否支援OCSP stapling的具體信息,如下所示:
可以看到這個網站是開啟了OCSP stapling的。但事實上這個世界上的絕大部分網站是沒有開啟OCSP stapling的。
那麼除了在第三方網站上查看OCSP stapling之外,還有沒有其他方法呢?
事實上我們可以使用openssl神器輕鬆的做到這一點。當然前提是這個網站支持https。
接下來我們會詳細講解從取得伺服器的憑證到驗證伺服器是否支援OCSP stapling的一整套流程。
本文要驗證的網站是微軟的官網www.squarespace.com,這是一個支援OCSP stapling的網站。
取得伺服器的憑證
要校驗伺服器是否支援OSCP,我們首先需要取得到這個伺服器的證書,可以用openssl提供的 openssl s_client -connect來完成這個工作。
openssl s_client -connect www.squarespace.com:443
這個指令會輸出建立連線的所有內容,其中包含了要存取網站的憑證資訊。
因為我們只要網站的證書,所以需要把-----BEGIN CERTIFICATE-----和-----END CERTIFICATE---- -之間的內容已儲存即可。
那麼最終的命令如下:
openssl s_client -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > ca.pem
這裡我們使用一個sed -n命令從輸出中截取以-----BEGIN開頭和以 -----END結尾的資料。
最終我們得到了網站的憑證。
除了網站本身的憑證之外,網站的憑證本身是由其他的憑證來簽發的,這些憑證叫做intermediate certificate,我們需要取得到整個憑證鏈。
同樣使用openssl的openssl s_client -showcerts指令可以取得所有的憑證鏈:
openssl s_client -showcerts -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > chain.pem
如果你開啟chain.pem檔案可以發現,檔案裡面有兩個證書,最上面的一個就是伺服器本身的證書,而第二個就是用來簽署伺服器憑證的intermediate certificate。
取得OCSP responder位址
如果憑證中包含有OCSP responder的位址,那麼可以用下面的指令來取得:
openssl x509 -noout -ocsp_uri -in ca.pem
我們可以得到網站的ocsp responder位址是:http://ocsp.digicert.com。
還有一種方法可以取得ocsp responder的位址:
openssl x509 -text -noout -in ca.pem
這個指令會輸出憑證的所有訊息,我們可以看到下面的內容:
Authority Information Access:
OCSP - URI:http://ocsp.digicert.com
CA Issuers - URI:http://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt其中OCSP - URI就是OCSP responder的位址。
發送OCSP請求
有了OCSP responder的位址,我們就可以進行OCSP驗證,在這個指令中我們需要用到伺服器的憑證和intermediate憑證。
具體的請求命令如下:
openssl ocsp -issuer chain.pem -cert ca.pem -text -url http://ocsp.digicert.com
從輸出中我們可以得到兩部分,第一部分是OCSP Request Data,也就是OCSP請求資料:
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 521EE36C478119A9CB03FAB74E57E1197AF1818B
Issuer Key Hash: 09262CA9DCFF639140E75867E2083F74F6EAF165
Serial Number: 120014F1EC2395D56FDCC4DCB700000014F1EC
Request Extensions:
OCSP Nonce:
04102873CFC7831AB971F3FDFBFCF3953EC5從請求在資料中,我們可以看到詳細的OCSP請求資料結構,包括issuer的內容和OCSP nonce。
第二部分是回應數據,很遺憾我們得到了下面的請求錯誤回應資料:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Produced At: Apr 30 04:36:26 2022 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
Cert Status: good
This Update: Apr 30 04:21:01 2022 GMT
Next Update: May 7 03:36:01 2022 GMT上面回傳結果中,Cert Status: good表示的是OCSP請求成功了,這個網站是一個支援OCSP協議的網站。
後面的兩行是OCSP上次更新的時間和下次更新的時間:
This Update: Apr 30 04:21:01 2022 GMT
Next Update: May 7 03:36:01 2022 GMT#說明這個網站也支援OCSP stapling。
另外,請求某些網站的OCSP url的時候可能會得到下面的例外:
Error querying OCSP responder 4346349100:error:27FFF072:OCSP routines:CRYPTO_internal:server response error:/AppleInternal/Library/BuildRoots/66382bca-8bca-11ec-aade-6613bcf0e2ee/Library/Caches/com.apple.xbs/Sources/libressl/libressl-2.8/crypto/ocsp/ocsp_ht.c:251:Code=400,Reason=Bad Request
為什麼會這樣呢?
這是因為ocsp.msocsp.com這個網站不支援OCSP預設的HTTP 1.0請求,在HTTP 1.0請求中預設是沒有Host這個請求頭的。所以我們需要加入上Host請求頭,然後再執行一次即可。
一個更簡單的方法
以上我們其實是將請求拆開來一步步執行的。我們也可以使用openssl一步來執行任務如下:
openssl s_client -tlsextdebug -status -connect www.squarespace.com:443
从输出中,我们可以看到下面的数据:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Produced At: Apr 27 04:36:26 2022 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
Cert Status: good
This Update: Apr 27 04:21:02 2022 GMT
Next Update: May 4 03:36:02 2022 GMT上面的命令直接输出了OCSP response结果,从结果中我们很清楚的看到该网站是否支持OCSP和OCSP stapling。
推荐学习:《java视频教程》
以上是Java使用openssl偵測網站是否支援ocsp的詳細內容。更多資訊請關注PHP中文網其他相關文章!
如何將Maven或Gradle用於高級Java項目管理,構建自動化和依賴性解決方案?Mar 17, 2025 pm 05:46 PM本文討論了使用Maven和Gradle進行Java項目管理,構建自動化和依賴性解決方案,以比較其方法和優化策略。
如何使用適當的版本控制和依賴項管理創建和使用自定義Java庫(JAR文件)?Mar 17, 2025 pm 05:45 PM本文使用Maven和Gradle之類的工具討論了具有適當的版本控制和依賴關係管理的自定義Java庫(JAR文件)的創建和使用。
如何使用咖啡因或Guava Cache等庫在Java應用程序中實現多層緩存?Mar 17, 2025 pm 05:44 PM本文討論了使用咖啡因和Guava緩存在Java中實施多層緩存以提高應用程序性能。它涵蓋設置,集成和績效優勢,以及配置和驅逐政策管理最佳PRA
如何將JPA(Java持久性API)用於具有高級功能(例如緩存和懶惰加載)的對象相關映射?Mar 17, 2025 pm 05:43 PM本文討論了使用JPA進行對象相關映射,並具有高級功能,例如緩存和懶惰加載。它涵蓋了設置,實體映射和優化性能的最佳實踐,同時突出潛在的陷阱。[159個字符]
Java的類負載機制如何起作用,包括不同的類載荷及其委託模型?Mar 17, 2025 pm 05:35 PMJava的類上載涉及使用帶有引導,擴展程序和應用程序類負載器的分層系統加載,鏈接和初始化類。父代授權模型確保首先加載核心類別,從而影響自定義類LOA
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
WebStorm Mac版
好用的JavaScript開發工具
Dreamweaver CS6
視覺化網頁開發工具
