Перегляньте сертифікат SSL сторінки, яка негайно переспрямовує на іншу

25

Так що я досить непомітно погуглився, але, здається, мій google-fu мені не піддається.

Я намагаюся діагностувати невідповідність імені хоста SSL сертифіката. Коли я відвідую відповідний URL, він перенаправляє мене на іншу сторінку, що має правильний сертифікат SSL. Однак деякі клієнти повідомляють, що отримують помилку невідповідності імені сервера SSL. Моє єдине припущення - це те, що сторінка для переадресації має неправильний сертифікат, і деякі клієнти дозволяють їй ковзати, оскільки вона вирішує нову сторінку, яка має правильний сертифікат.

(Як і чому цього питання насправді не питання)

Питання:

Ззовні (як клієнт у світі) - як би переглядати сертифікат, який було доставлено сторінкою, яка автоматично переспрямовує на іншу сторінку?

ssl ssl-certificate 301-redirect

— Роберт Петц
джерело

Ще один корисний ресурс - тест SSL-сервера з лабораторій QLy's.

— TRiG

35

Використовуйте pipes openssl s_client для openssl x509 :

$ openssl s_client -connect foo.example.com:443 < /dev/null | openssl x509 -text

(Додайте -servername foo.example.comдо команди s_client, якщо сервер використовує SNI .)

Перенаправлення stdin з / dev / null для першого виклику openssl не дозволить йому зависати в очікуванні введення.

— EEAA
джерело

2

Ви можете також направити вихід на openssl x509 -textнасправді побачити , що в CERT сервера і перенаправити введення вихідної opensslкоманди з /dev/nullтак що команда не висить: openssl s_client -connect ... < /dev/null | openssl x509 -text. Знайдіть поле "Альтернативне ім'я теми X509v3".

— Ендрю Генле

@AndrewHenle Чудове доповнення. Сміливо відредагуйте це у моїй відповіді, якщо хочете.

— EEAA

Працював як шарм - я проводив лише обмежену кількість часу з openSSL, але щоразу, коли мені потрібно робити щось, що стосується ssl, це завжди відкидається до нього ха-ха ... Дякую за пораду!

— Роберт Петц

6

Якщо сервер використовує SNI, слід додати -servername foo.example.comдо s_clientпараметрів.

— Бруно

Я не бачу ланцюга довіри у виході. Якщо я хочу дізнатися, чи довіряють веб-сайт VeriSign, LetsEncrypt, або ChineseGov чи DO_NOT_TRUST_FiddlerRoot, що мені слід шукати?

— Карл Уолш

7

У Firefox 57, якщо ви відкриєте Інструменти для розробників і перейдіть на вкладку Мережа:

Переконайтеся, що Persist Logsвстановлено прапорець
Відвідайте цікаву URL-адресу
Клацніть верхній рядок (тобто той, що відповідає запиту на сервер, який вас цікавить, в результаті чого відповідь про переадресацію)
Клацніть на Securityвкладці (на півдорозі вниз, все ще в межах Network)

Це дозволить вам переглядати інформацію про сертифікати, такі як загальна назва випусника, реквізити емітента, термін дії та відбитки пальців.

Це працювало для мене на сайті, який відповідав перенаправленням 301 на інший веб-сайт HTTPS. (На жаль, прийнята відповідь просто дала мені сертифікат на остаточну сторінку призначення.)

— mpavey
джерело

Дякуємо за рідний метод браузера. Ви спробували -servernameваріант з openssl? Це може дати інший результат, навіть якщо це одне ім’я.

— mwfearnley

@mwfearnley Ні! З openssl, я просто скопіювати і вставити з відповіді і здався після того, як він не зробив роботу :) Дякую за пропозицію.

— mpavey

5

Також є графічний інструмент для Windows з детальним відстеженням тексту: Інструмент перевірки SSL сертифікатів та опис інструмента: Перевірка сертифікатів SSL за допомогою інструменту, і ось приклад того, як він обробляє переспрямування:

введіть тут опис зображення

— Crypt32
джерело

1

Як альтернатива окремим програмам, згаданим в інших відповідях, ви також можете відключити автоматичне перенаправлення у вашому браузері.

Варіант зробити це залежить від браузера, ось методи для Firefox та Chrome:

— jpa
джерело

Не знаєте, хто спростував це?

— Роберт Петц

Так, це саме те, що я хотів, цілком вбудоване рішення.

— Michael12345

1

Це не працювало для мене в Chrome. Я бачу 302 в мережевому сліді, але я не бачу, як перевірити сертифікат на предмет мережевих слідів. Якщо я натискаю вкладку Безпека, Chrome замість цього показує мені сертифікат поточної веб-сторінки (ціль переспрямування).

— Карл Уолш

Очевидно, що відповіді "лише на посилання" мають тенденцію гнити протягом багатьох років, коли продукти змінюються. Можливо, ця відповідь спрацювала ще до того, як Chrome представив вкладку Безпека?

— Карл Уолш

1

@jpa Посилання, яке ви надали для Chrome, пояснює, як зберегти мережевий журнал після того, як відбудеться переадресація, а не як перешкодити Chrome виконувати переадресацію.

— mpavey