Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

récupération des certificats avec openssl

1 réponse
Avatar
Kevin Denis
Bonjour,

j'essaye de récupérer des certificats via openssl s_client, et j'ai
l'impression qu'il m'en manque toujours un, celui de plus haut niveau;
exemple avec google:
$ openssl s_client -connect accounts.google.com:443 -showcerts
CONNECTED(00000003)
depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=accounts.google.com
i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
-----BEGIN CERTIFICATE-----
MIIDJjCCAo+gAwIBAgIQI4VkKSGTgB5hicRRonT79zANBgkqhkiG9w0BAQUFADBM
(snip)
pIEOlLDYRmcsIK62iWSmsNqOz9QJf1fcnDIFBmKyCBT+i+oRE7z3O371
-----END CERTIFICATE-----
1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
-----BEGIN CERTIFICATE-----
MIIDIzCCAoygAwIBAgIEMAAAAjANBgkqhkiG9w0BAQUFADBfMQswCQYDVQQGEwJV
(snip)
bcV0oveifHtgPHfNDs5IAn8BL7abN+AqKjbc1YXWrOU/VG+WHgWv
-----END CERTIFICATE-----
---
Server certificate
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=accounts.google.com
issuer=/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
---
No client certificate CA names sent
---
SSL handshake has read 1777 bytes and written 307 bytes
---
(snip)

Et la connexion SSL est faite. Sauf que je ne lis que deux certificats,
et qu'il devrait y en avoir trois.

Si je lis bien la certificate chain:
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=accounts.google.com
i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA

Donc google est signé par Thawte, ok, et si on remonte la chaine:

1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority

Thawte est signé par Verisign, OK. Mais ça s'arrête là.

Donc qui signe verisign? (Je le sais, c'est lui même, en tant que CA). Mais
pourquoi openssl ne l'affiche pas? Et pourquoi n'inclut il pas son
certificat?

Merci
--
Kevin

1 réponse

Avatar
Tanguy Ortolo
Kevin Denis, 2012-10-15 11:22+0200:
Donc qui signe verisign? (Je le sais, c'est lui même, en tant que CA). Mais
pourquoi openssl ne l'affiche pas?



Parce qu'il ne fait pas partie de ce que le serveur présente.

Et pourquoi n'inclut il pas son certificat?



Pourquoi le serveur ne l'inclut-il pas dans ce qu'il présente au client,
tu veux dire ? Parce que ça ne servirait à rien :
– soit le client connaît déjà VeriSign et leur fait confiance, auquel
cas lui fournir ne sert à rien ;
– soit le client ne connaît pas VeriSign, auquel cas lui fournir ne sert
à rien non plus puisqu'il n'aurait aucune raison d'y faire confiance.


--
  ____   Tanguy Ortolo
 /_   ______________
((_)   _ .--^---^^-^-'
 ____/ `' urn:pgp:240BBA15B694DD00E38030D8D6EFA6AC4B10D847: