2. Fórumok
  3. OS, alkalmazások
  4. Opera böngésző
  5. (kiemelt téma)

Hirdetés

Új hozzászólás Aktív témák

  • #18175 dqdb Topikgazda AtHoS #18145
    Új Válasz #18175
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    dqdb

    Topikgazda

    válasz AtHoS #18145 üzenetére

    Jó hír: a Netlock módosított a CRL kiadásán, így megszűnt a 1578-as hiba, vissza lehet (és érdemes) kapcsolni az opera:config#SecurityPrefs|Certificaterevocationlistsforssl beállítást. Várhattak volna vele kicsit, ha már az Operával karöltve hónapokon keresztül szívatták a népet, most akartam alaposabban megnézni ;] Szerencsére találtam magamnál régebben elmentett Netlock CRL-t, így van összehasonlítási alapom.

    Az Opera leírása szerint, ezt linkelte AtHoS, az volt a probléma kiváltója, hogy az Operánál a 12.10-ben újabb OpenSSL használatára tértek át (időben, alig 2,5 évvel az 1.0.0 kiadása után ...), amiben a CRL ellenőrzése szigorúbbá vált. Korábban csak megkereste és feldolgozta a kód az extensionöket, most már azt is ellenőrzi, hogy a specifikációnak megfelelően látják-e el ezeket a critical flaggel. A specifikáció szerint a reasonCode non-critical, azonban a Netlock olyan CRL-eket gyártott, ahol ez a az extension critical értékre volt állítva. Ezt anno benézte a Netlock, és benézte az őket minősítő cég is, de a hiba súlyosságát jelzi, hogy több, mint 13 éven át sehol sem bukott ki (a BC C# változata például garantáltan nem volt érzékeny erre, mert azt használtam netlockos tanúsítványok CRL alapú ellenőrzésére). Kész szerencse, hogy csak ennyi volt a gond, így a Netlocknál a hivatalos CRL kiadási protokoll és a forráskód módosítása elegendő volt, mert nem a tanúsítványok voltak érintettek.

    Így néz ki egy CRL extension ASN.1 objektum:

    Extension ::= SEQUENCE {
    extnID OBJECT IDENTIFIER,
    critical BOOLEAN DEFAULT FALSE,
    extnValue OCTET STRING
    -- contains the DER encoding of an ASN.1 value
    -- corresponding to the extension type identified
    -- by extnID
    }

    Így nézett ki a bőnös reasonCode extension a NetLock Uzleti (Class B) Tanusitvanykiado CA egyik CRL-jében korábban (2012-10-22 12:00:00Z):

    239:d=5 hl=2 l= 13 cons: SEQUENCE
    241:d=6 hl=2 l= 3 prim: OBJECT :X509v3 CRL Reason Code
    246:d=6 hl=2 l= 1 prim: BOOLEAN :255
    249:d=6 hl=2 l= 3 prim: OCTET STRING [HEX DUMP]:0A0100

    És így néz ki most (2012-12-08 12:00:00Z):

    239:d=5 hl=2 l= 10 cons: SEQUENCE
    241:d=6 hl=2 l= 3 prim: OBJECT :X509v3 CRL Reason Code
    246:d=6 hl=2 l= 3 prim: OCTET STRING [HEX DUMP]:0A0100

    Szóval bár mindenki happy lehetne (bár nekem a miért most jött előhivatalos indoklását illetően vannak kétségeim), a következő költőinek szánt kérdéseket azért fel kell tennem:
    1. Miért nem került bele az Operába ideiglenesen workaround a Netlock CRL-jeire? Sokkal kisebb munka lett volna, mint amennyi felhasználót veszthettek ezzel.
    2. Miért nincsen dokumentálva az Opera oldalán, hogy melyik SSL hibakód ténylegesen milyen hibát takar? Az X509_V_ERR_UNHANDLED_CRITICAL_CRL_EXTENSION OpenSSL visszatérési érték kódja 36, ebből keletkezett 1578.
    3. Miért nincsen egy Oké, megértettem, hogy hiba van, de én mégis szeretné továbbmenni gomb az üzenet mellett?
    4. Miért nem jeleníti meg az Opera a hibát okozó tanúsítványt, miért kell másik böngészőt használni annak letöltésére?

    [ Szerkesztve ]

    tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Új hozzászólás Aktív témák