Bagaimana cara memverifikasi sidik jari SSL berdasarkan baris perintah? (wget, ikal, ...)

Menggunakan pengunduh situs web baris perintah, seperti wget, curlatau yang lainnya ... Dalam skrip ...

Saya memiliki sidik jari sertifikat SHA-1 dan SHA-256 dari sebuah situs web. Karena masalah keamanan ( 1 ) ( 2 ), saya tidak ingin menggunakan sistem otoritas sertifikat SSL publik. Sidik jari harus dikodekan dengan keras.

Bisakah aplikasi wget like memeriksa sidik jari SSL?

wget tidak memiliki fungsi seperti itu. ( 3 )

Menggunakan wget --ca-certificateatau curl --cacertsaya harus menjalankan otoritas sertifikat lokal saya sendiri, yang ingin saya cegah, karena itu menambah banyak kerumitan. Ini juga sangat sulit dan tidak ada yang pernah melakukan itu sebelumnya. ( 4 )

Apakah tidak ada alat, seperti
download --tlsv1 --serial-number xx:yy:zz --fingerprint xxyyzz https://site.com?

Solusinya tentu saja tidak harus rentan terhadap TOCTOU. ( 5 ) MITM dapat membiarkan sidik jari yang valid untuk permintaan klien openssl dan merusak permintaan wget berikut.

Sumber

Instal perangkat lunak yang diperlukan:

apt-get install ca-certificates curl

Unduh sertifikat SSL publik:

openssl s_client -connect torproject.org:443 -CAfile /usr/share/ca-certificates/mozilla/DigiCert_Assured_ID_Root_CA.crt >./x.cert </dev/null

Atau lebih baik:

echo -n | openssl s_client -connect torproject.org:443 -CAfile /usr/share/ca-certificates/mozilla/DigiCert_Assured_ID_Root_CA.crt | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ./torproject.pem

Dapatkan sidik jari SHA-1:

openssl x509 -noout -in torproject.pem -fingerprint -sha1

Dapatkan sidik jari SHA-256:

openssl x509 -noout -in torproject.pem -fingerprint -sha256

Secara manual membandingkan sidik jari SHA-1 dan SHA-256 dengan FAQ torproject.org: SSL .

.

Opsional membuat sertifikat-ca tidak berguna untuk tujuan pengujian. Menggunakan curl di sini, tetapi wget memiliki Bug bug dan tetap menggunakan ca-file.

sudo mv /usr/share/ca-certificates /usr/share/ca-certificates_

Unduh dengan ikal dan sertifikat yang disematkan:

curl --cacert ./torproject.pem https://check.torproject.org/ > check.html

Dalam tcsh:

echo | openssl s_client -connect host.example.com:443 |& openssl x509 -fingerprint -noout

Ini juga cukup:

openssl x509 -fingerprint -in server.crt

Ini cukup mudah dilakukan dengan opensslperintah dan fungsionalitas kliennya.

Skrip kecil berikut akan mengambil domain tertentu (tanpa awalan https) dan sidik jari SHA-1, dan keluar tanpa kesalahan (0) jika sidik jari yang diambil cocok, tetapi dengan kode keluar 1 jika tidak ada yang cocok. Anda kemudian dapat memasukkannya ke dalam skrip Anda dengan hanya menguji kode keluar terakhir $?:

#! / bin / bash

FPRINT = `echo -n | openssl s_client -connect $ 1: 443 2> / dev / null \ |
        openssl x509 -tidak ada -fingerprint | cut -f2 -d '=' `

if ["$ 2" = "$ FPRINT"]; kemudian
    keluar 0
  lain
    keluar 1
fi

sumber

#!/usr/bin/perl
# https://security.stackexchange.com/questions/20399/how-to-verify-the-ssl-fingerprint-by-command-line-wget-curl
# Code snippets taken from Net::SSLeay documentation and mildly modified.
# Requires a newer version of SSLeay (tested with 1.48)
# Needless to say, verify correct $host and $fingerprint before testing!!!

use Net::SSLeay qw(get_https3);

$host = "www.google.com";
$port = 443;
$fingerprint = "C1:95:6D:C8:A7:DF:B2:A5:A5:69:34:DA:09:77:8E:3A:11:02:33:58";

($p, $resp, $hdrs, $server_cert) = get_https3($host, $port, '/');
if (!defined($server_cert) || ($server_cert == 0)) {
    warn "Subject Name: undefined, Issuer  Name: undefined";
} elsif (Net::SSLeay::X509_get_fingerprint($server_cert, "sha1") ne $fingerprint) {
    warn 'Invalid certificate fingerprint '
        .  Net::SSLeay::X509_get_fingerprint($server_cert, "sha1")
        . ' for ' . Net::SSLeay::X509_NAME_oneline(
             Net::SSLeay::X509_get_subject_name($server_cert));
} else {
    print $p;
}

Seperti yang diuraikan dalam dokumentasi Net :: SSLeay, metode ini berarti verifikasi setelah transaksi HTTP, dan karenanya tidak boleh digunakan jika Anda ingin memverifikasi bahwa Anda sedang berbicara dengan server yang benar sebelum mengirimnya data. Tetapi jika semua yang Anda lakukan adalah memutuskan untuk mempercayai apa yang baru saja Anda unduh (yang sepertinya Anda berasal dari referensi # 4) Anda baik-baik saja.

Itu naskah saya sehari-hari:

curl --insecure -v https://www.google.com 2>&1 | awk 'BEGIN { cert=0 } /^\* Server certificate:/ { cert=1 } /^\*/ { if (cert) print }'

Ouput:

* Server certificate:
*    subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=www.google.com
*    start date: 2016-01-07 11:34:33 GMT
*    expire date: 2016-04-06 00:00:00 GMT
*    issuer: C=US; O=Google Inc; CN=Google Internet Authority G2
*    SSL certificate verify ok.
* Server GFE/2.0 is not blacklisted
* Connection #0 to host www.google.com left intact