OpenSSL API是否提供了检查证书吊销的简单方法?
我是图书馆的新手,所以我可能不知道我在讲什么。 但我正在客户端上建立一个基本的TLS连接,如下所示:OpenSSL API是否提供了检查证书吊销的简单方法?,openssl,tls1.2,Openssl,Tls1.2,我是图书馆的新手,所以我可能不知道我在讲什么。 但我正在客户端上建立一个基本的TLS连接,如下所示: //... // >> standard TCP/IPv4 connect(...) << //... SSL_CTX_load_verify_locations(ctx, cert, 0) ssl = SSL_new(ctx); SSL_set_fd(ssl, socket); SSL_connect(ssl); 我相信这会做一些基本的检查,比如证书链是否可信,过期检
//...
// >> standard TCP/IPv4 connect(...) <<
//...
SSL_CTX_load_verify_locations(ctx, cert, 0)
ssl = SSL_new(ctx);
SSL_set_fd(ssl, socket);
SSL_connect(ssl);
我相信这会做一些基本的检查,比如证书链是否可信,过期检查,但不会检查服务器提供的证书是否被吊销。有没有一种简单的方法可以从这里检查此连接/证书
openssl版本:1.1.0b
密码套件:ECDHE-RSA-AES-GCM-SHA您应该阅读有关CRL和OCSP的信息。您必须注意实时撤销检查。在您的应用程序上使用DoS的时机已经成熟,因为它试图获取100MB+CRL。OSCP响应程序更好,但在您需要它们时,它们会遇到诸如过时或离线等问题。可能是最有用的,但仍有一些差距。也可以看彼得·古特曼的。如果你知道这些事情,我很抱歉。
bool valid = SSL_get_verify_result(ssl) == X509_V_OK;