問題タブ [ocsp]

requestsライブラリで OCSP チェックを実装する方法はありますか?

私が今見ている唯一の実行可能な方法はpyOpenSSLを使用することですが、これはサーバーへの個別の独立した接続を確立して証明書を取得し、発行者に接続してそれを検証する必要があることを意味します。

そして、そのような実装はありますか? あなたはすでにそれを解決し、それについて報告したいと思いますか?

M2Cryptoも少なくとも SSL 接続の候補のように見えますが、そのライブラリの潜在的な欠点についてはわかりませんが、確かに低レベルに見えますrequests。

補足:
より洗練された HTTP/HTTPS 接続に関しては、どうやら Python は本当に最悪のようです。

urllibrequests(システムの CA を使用するのではなく) 独自の CA 証明書のコレクションが付属している間は、SSL/TLS 証明書をチェックすることさえせず、PAC を介したプロキシ構成をサポートしていないようです。

Qt の HTTP スタック (OS 設定を使用) を使用してみましたが、複数の同時接続でストールの問題が発生しました。

有効であることがわかっている証明書を使用して、BouncyCastle を使用して OCSP リクエストを作成しています。私の問題は、UNKNOWN 証明書ステータスを取得していることです。これは、サーバーで何か問題が発生したことを意味し、証明書の状態を返すことができることを知っています。

BouncyCastle フレームワーク内で、エラーの説明、例外、またはサーバーがこの証明書の検証を処理できない理由を正確に把握するのに役立つ何らかのメッセージを取得する方法はありますか?

どちらが使いやすいですか？

ユーザー (Android フォン) が他のユーザーの証明書が取り消されていないかどうかを確認できるようにするための簡単で耐久性のあるソリューションがあるかどうか疑問に思います。ネットで読んだ後、CRL、OCSP、またはその他の方法を実装する方が良いかどうか、まだ混乱しています。

• アプリには約 10,000 人のユーザーがいる可能性があります。• アプリで使用される証明書は、当社によって署名されています。アプリが信頼するかなり単純な認証局があります。後でより良いソリューションを実装するときに下位互換性が高くつく可能性がある一時的なソリューションには行きません。

私たちは支払い処理アプリケーションに取り組んでおり、安全な接続を確立するときに CRL/OCSP チェックを行っていることを確認したいと考えています (サーバーとの TLS 1.1 セッションを開始します)。.NET がこれを行うと思いますが、この点に関する情報を見つけることができません。

1. .NET は自動的にこれを行いますか?
2. それがどのように機能するかを制御するための設定はありますか?
3. 見つからないように見えるドキュメントへのリンクを提供してください。
4. それが私たちのためにこれをしない場合。メソッドなど、チェックを実行するための「ベストプラクティス」メソッドはありX509Certificate2.Verifyますか?

ありがとうございました！

OpenSSL OCSP-Responder をセットアップしましたが、証明書を検証しようとすると次のエラーが表示されます。

index.txt は次のようになります。

(*は匿名化のみを目的としています)

シリアル ファイルと適切な証明書が存在します。私はこのように OCSP を呼び出します:

誰かがエラーを知っていて、私を助けることができますか?

ありがとうございました

Windows Server 2008 R2 (DC ではない) が CRL と OCSP をキャッシュしない理由、キャッシュが常に空であることを誰かが知っていますか? certutil -urlcache CRL私のローカルマシンには常にいくつかのcrl URLのレコードがあるのとは異なり、コマンドは何も返しません。