x509 expired certificaat op Mac OS breekt verify
Paul, 2009/4/23 Paul van Brouwershaven <p.vanbrouwershaven at networking4all.com>:
Hoi Arjan,
Dit certificaat is een zelf signed certificaat gebaseerd op md5, daar er geen gebruik gemaakt wordt van een trusted root kan dit certificaat enkel worden vertrouwd door het certificaat zelf in de root store op te nemen.
Klopt, was destijds ook de bedoeling.
Een certificaat met de naam snakeoil wordt vaak aangemaakt door de leverancier van een product als een soort placeholder.
Oh, iemand-wiens-naam-wij-hier-niet-hardop-zullen-noemen (*pets*) refereerde aan de term snakeoil als het om selfsigned CA certificaten ging.
- Waar wil je het certificaat voor gaan gebruiken?
Nergens meer voor, het is legacy.
- Hebben jullie een interne CA draaien?
Destijds, voor de test, ja.
- Maak je gebruik van een standaard root store of heb je deze zelf samengesteld?
enoclue, onze $vendor had een server certificaat nodig en kwam met een cert uitgegeven door deze CA op de proppen. Het ding is legacy nu en vervangen door een goed exemplaar, uitgegeven door Comodo. Echter, de applicatie die dit server certificaat checkt doet dit tegen een eigen CA file met hierin (behalve een groot aantal formele root certificaten) oa dit certificaat. Ja, het kan eruit en nee we gebruiken het niet meer. Het viel me alleen op dat OpenSSL onder windows wel in staat was om het server certificaat te valideren tegen het juiste root certificate en dat OpenSSL onder Mac OS blijkbaar problemen heeft met dit legacy root certificaat. Ik was eerst bang dat het kwam omdat hij expired was, maar dat lijkt niet de issue, aangezien er in de CA file nog meer expired root's zitten en OpenSSL hier niet over barft. Ik zoek gewoon de reden dat dit rootcert de hele boel blokkeert, aangezien ik bang ben dat we er laten bij een ander certificaat mogelijk ook tegenaan zullen lopen. Ik ben uberhaupt al niet blij met het feit dat $vendor een eigen CA file met een compilatie root certificaten hanteert, waarom niet gewoon de standaard certificaten gebruiken die in de windows certificate store zitten? Arjan
participants (1)
-
arjan@vanderoest.net