社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
目錄
支援OCSP stapling的網站
取得伺服器的憑證
取得OCSP responder位址
發送OCSP請求
一個更簡單的方法
首頁 Java java教程 Java使用openssl偵測網站是否支援ocsp

Java使用openssl偵測網站是否支援ocsp

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Sep 15, 2022 pm 03:26 PM
java

本篇文章為大家帶來了關於java的相關知識,OCSP線上憑證狀態協定是為了替換CRL而提出來的;對於現代web伺服器來說一般都是支援OCSP的, OCSP也是現代web伺服器的標配,下面一起來看一下,希望對大家有幫助。

Java使用openssl偵測網站是否支援ocsp

推薦學習:《java影片教學

OCSP線上憑證狀態協定是為了取代CRL而提出來的。對於現代web伺服器來說一般都是支援OCSP的,OCSP也是現代web伺服器的標配。

但是OCSP stapling卻不是所有的web伺服器都支援。但現實工作中我們可能需要知道特定某個網站對OCSP的支援程度。

支援OCSP stapling的網站

怎麼判斷一個web網站是否支援OCSP stapling呢?

最簡單的方法就是去第三方網站查看網站的憑證資訊。例如我們之前提到的entrust.ssllabs.com,透過輸入對應的網站信息,在
Protocol Details一節中,可以找到網站是否支援OCSP stapling的具體信息,如下所示:

可以看到這個網站是開啟了OCSP stapling的。但事實上這個世界上的絕大部分網站是沒有開啟OCSP stapling的。

那麼除了在第三方網站上查看OCSP stapling之外,還有沒有其他方法呢?

事實上我們可以使用openssl神器輕鬆的做到這一點。當然前提是這個網站支持https。

接下來我們會詳細講解從取得伺服器的憑證到驗證伺服器是否支援OCSP stapling的一整套流程。

本文要驗證的網站是微軟的官網www.squarespace.com,這是一個支援OCSP stapling的網站。

取得伺服器的憑證

要校驗伺服器是否支援OSCP,我們首先需要取得到這個伺服器的證書,可以用openssl提供的 openssl s_client -connect來完成這個工作。 

 openssl s_client -connect www.squarespace.com:443
登入後複製

這個指令會輸出建立連線的所有內容,其中包含了要存取網站的憑證資訊。

因為我們只要網站的證書,所以需要把-----BEGIN CERTIFICATE----------END CERTIFICATE---- -之間的內容已儲存即可。

那麼最終的命令如下:

openssl s_client -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > ca.pem
登入後複製

這裡我們使用一個sed -n命令從輸出中截取以-----BEGIN開頭和以 -----END結尾的資料。

最終我們得到了網站的憑證。

除了網站本身的憑證之外,網站的憑證本身是由其他的憑證來簽發的,這些憑證叫做intermediate certificate,我們需要取得到整個憑證鏈。

同樣使用openssl的openssl s_client -showcerts指令可以取得所有的憑證鏈:

openssl s_client -showcerts  -connect www.squarespace.com:443 | sed -n '/-----BEGIN/,/-----END/p' > chain.pem
登入後複製

如果你開啟chain.pem檔案可以發現,檔案裡面有兩個證書,最上面的一個就是伺服器本身的證書,而第二個就是用來簽署伺服器憑證的intermediate certificate。

取得OCSP responder位址

如果憑證中包含有OCSP responder的位址,那麼可以用下面的指令來取得:

openssl x509 -noout -ocsp_uri -in ca.pem
登入後複製

我們可以得到網站的ocsp responder位址是:http://ocsp.digicert.com

還有一種方法可以取得ocsp responder的位址:

openssl x509 -text -noout -in ca.pem
登入後複製

這個指令會輸出憑證的所有訊息,我們可以看到下面的內容:

 Authority Information Access:
                OCSP - URI:http://ocsp.digicert.com
                CA Issuers - URI:http://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt
登入後複製

其中OCSP - URI就是OCSP responder的位址。

發送OCSP請求

有了OCSP responder的位址,我們就可以進行OCSP驗證,在這個指令中我們需要用到伺服器的憑證和intermediate憑證。

具體的請求命令如下:

openssl ocsp -issuer chain.pem -cert ca.pem -text -url http://ocsp.digicert.com
登入後複製

從輸出中我們可以得到兩部分,第一部分是OCSP Request Data,也就是OCSP請求資料:

OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 521EE36C478119A9CB03FAB74E57E1197AF1818B
          Issuer Key Hash: 09262CA9DCFF639140E75867E2083F74F6EAF165
          Serial Number: 120014F1EC2395D56FDCC4DCB700000014F1EC
    Request Extensions:
        OCSP Nonce:
            04102873CFC7831AB971F3FDFBFCF3953EC5
登入後複製

從請求在資料中,我們可以看到詳細的OCSP請求資料結構,包括issuer的內容和OCSP nonce。

第二部分是回應數據,很遺憾我們得到了下面的請求錯誤回應資料:

OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
    Produced At: Apr 30 04:36:26 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
      Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
      Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
    Cert Status: good
    This Update: Apr 30 04:21:01 2022 GMT
    Next Update: May  7 03:36:01 2022 GMT
登入後複製

上面回傳結果中,Cert Status: good表示的是OCSP請求成功了,這個網站是一個支援OCSP協議的網站。

後面的兩行是OCSP上次更新的時間和下次更新的時間:

    This Update: Apr 30 04:21:01 2022 GMT
    Next Update: May  7 03:36:01 2022 GMT
登入後複製

#說明這個網站也支援OCSP stapling。

另外,請求某些網站的OCSP url的時候可能會得到下面的例外:

Error querying OCSP responder
4346349100:error:27FFF072:OCSP routines:CRYPTO_internal:server response error:/AppleInternal/Library/BuildRoots/66382bca-8bca-11ec-aade-6613bcf0e2ee/Library/Caches/com.apple.xbs/Sources/libressl/libressl-2.8/crypto/ocsp/ocsp_ht.c:251:Code=400,Reason=Bad Request
登入後複製

為什麼會這樣呢?

這是因為ocsp.msocsp.com這個網站不支援OCSP預設的HTTP 1.0請求,在HTTP 1.0請求中預設是沒有Host這個請求頭的。所以我們需要加入上Host請求頭,然後再執行一次即可。

一個更簡單的方法

以上我們其實是將請求拆開來一步步執行的。我們也可以使用openssl一步來執行任務如下:

openssl s_client -tlsextdebug -status -connect www.squarespace.com:443
登入後複製

从输出中,我们可以看到下面的数据:

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
    Produced At: Apr 27 04:36:26 2022 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: E4E395A229D3D4C1C31FF0980C0B4EC0098AABD8
      Issuer Key Hash: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
      Serial Number: 0F21C13200AE502D52BBE8DFEAB0F807
    Cert Status: good
    This Update: Apr 27 04:21:02 2022 GMT
    Next Update: May  4 03:36:02 2022 GMT
登入後複製

上面的命令直接输出了OCSP response结果,从结果中我们很清楚的看到该网站是否支持OCSP和OCSP stapling。

推荐学习:《java视频教程

以上是Java使用openssl偵測網站是否支援ocsp的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

顯示更多

熱門文章

如何修復KB5055612無法在Windows 10中安裝?
4 週前 By DDD
<🎜>:泡泡膠模擬器無窮大 - 如何獲取和使用皇家鑰匙
4 週前 By 尊渡假赌尊渡假赌尊渡假赌
<🎜>:種植花園 - 完整的突變指南
3 週前 By DDD
北端:融合系統,解釋
4 週前 By 尊渡假赌尊渡假赌尊渡假赌
Mandragora:巫婆樹的耳語 - 如何解鎖抓鉤
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

Java教學
1672
14
CakePHP 教程
1428
52
Laravel 教程
1332
25
PHP教程
1276
29
C# 教程
1256
24
顯示更多
Related knowledge
PHP與Python:了解差異 PHP與Python:了解差異 Apr 11, 2025 am 12:15 AM

PHP和Python各有優勢,選擇應基於項目需求。 1.PHP適合web開發,語法簡單,執行效率高。 2.Python適用於數據科學和機器學習,語法簡潔,庫豐富。

PHP:網絡開發的關鍵語言 PHP:網絡開發的關鍵語言 Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言,特別適合web開發。 1.PHP可以嵌入HTML,處理HTTP請求和響應,支持多種數據庫。 2.PHP用於生成動態網頁內容,處理表單數據,訪問數據庫等,具有強大的社區支持和開源資源。 3.PHP是解釋型語言,執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時,可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

突破或從Java 8流返回? 突破或從Java 8流返回? Feb 07, 2025 pm 12:09 PM

Java 8引入了Stream API,提供了一種強大且表達力豐富的處理數據集合的方式。然而,使用Stream時,一個常見問題是:如何從forEach操作中中斷或返回? 傳統循環允許提前中斷或返回,但Stream的forEach方法並不直接支持這種方式。本文將解釋原因,並探討在Stream處理系統中實現提前終止的替代方法。 延伸閱讀: Java Stream API改進 理解Stream forEach forEach方法是一個終端操作,它對Stream中的每個元素執行一個操作。它的設計意圖是處

PHP與其他語言:比較 PHP與其他語言:比較 Apr 13, 2025 am 12:19 AM

PHP適合web開發,特別是在快速開發和處理動態內容方面表現出色,但不擅長數據科學和企業級應用。與Python相比,PHP在web開發中更具優勢,但在數據科學領域不如Python;與Java相比,PHP在企業級應用中表現較差,但在web開發中更靈活;與JavaScript相比,PHP在後端開發中更簡潔,但在前端開發中不如JavaScript。

PHP與Python:核心功能 PHP與Python:核心功能 Apr 13, 2025 am 12:16 AM

PHP和Python各有優勢,適合不同場景。 1.PHP適用於web開發,提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習,語法簡潔且有強大標準庫。選擇時應根據項目需求決定。

PHP的影響:網絡開發及以後 PHP的影響:網絡開發及以後 Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP:許多網站的基礎 PHP:許多網站的基礎 Apr 13, 2025 am 12:07 AM

PHP成為許多網站首選技術棧的原因包括其易用性、強大社區支持和廣泛應用。 1)易於學習和使用,適合初學者。 2)擁有龐大的開發者社區,資源豐富。 3)廣泛應用於WordPress、Drupal等平台。 4)與Web服務器緊密集成,簡化開發部署。

PHP與Python:用例和應用程序 PHP與Python:用例和應用程序 Apr 17, 2025 am 12:23 AM

PHP適用於Web開發和內容管理系統,Python適合數據科學、機器學習和自動化腳本。 1.PHP在構建快速、可擴展的網站和應用程序方面表現出色,常用於WordPress等CMS。 2.Python在數據科學和機器學習領域表現卓越,擁有豐富的庫如NumPy和TensorFlow。

See all articles