TLS 인증서를 생성하고 자체 서명된 CA로 서명했습니다.
이 프로세스 중에 많은 작은 오류가 발생할 수 있으며 이로 인해 인증서가 거부될 수 있습니다. 브라우저는 일반적인 TLS 오류 코드(또는 "이 사이트는 공격을 받고 있습니다!")를 제공하는 매우 불투명한 오류를 제공하는 것처럼 보이지만 인증서 체인에 정확히 어떤 문제가 있는지 설명하지 않습니다.
또한 TLS는 시간이 지남에 따라 발전했으며 불과 몇 년 전에는 일반적이었던 TLS 소프트웨어에서 지원하는 많은 기능이 이제는 안전하지 않은 것으로 간주되어 더 이상 사용되지 않습니다. 이것들을 추적하는 것은 어렵습니다.
Unix/Linux 환경에서 TLS 인증서를 테스트하여 일반적으로 최신 표준을 준수하는지 신속하게 확인하고, 그렇지 않은 경우 문제가 어디에 있는지 확인할 수 있는 방법이 있습니까?
답변1
zlintcablintCA/브라우저 포럼 기본 요구 사항에 대한 인증서 준수 여부를 확인하는 데 널리 사용되는 도구인 것 같습니다 . (개인적으로 사용해본 적은 없습니다.)
내부적으로 관리되는 CA는 다음과 같습니다.주제에 포함되지 않음WebPKI CA와 동일한 요구 사항 - 브라우저는 차이점을 알고 있으며 예를 들어 (적어도 내가 아는 한) SAN 요구 사항을 적용하지 않습니다.
유효성을 검사하기 전에는 다양한 브라우저별 전략을 사용하지 않을 것입니다.기본 TLS 라이브러리인증서를 수락합니다. 즉, TLS 서버가 구성된 경우 먼저 해당 gnutls-cli <host>:<port>서버와 전체 체인에 대한 GnuTLS 지침을 살펴본 다음 동일한 openssl s_client요구 사항 -servername및 옵션을 살펴보았습니다.-verify_hostname …