staging.inyokaproject.org

Ganz kurz nur:

beim Firefox wird geplant den alten zuverlässigen SSL Zertifkatbetrachter aus kosmetischen Gründen zu ersetzen, mit dem Zertifkatbetrachter der bislang als Firefox Add-on "Certainly Something" von April King existiert.

Leider funktioniert der aber nicht wirklich, jedenfalls nicht zuverlässig. Schon beim anzeigen meines Router Zertifikats versagte der für die Integration angesagte Zertifkatbetrachter.

Habe mir daher mal eben schnell eine kleine function zertifikatguck für die .bashrc geschrieben:

function zertifikatguck { echo | openssl s_client -connect "$@":443 ; }

Wird dann im Terminal oder im Terminalemulator auf der Bash so benutzt:

zertifikatguck ROUTER

Wobei ROUTER durch den jeweilgen Namen ohne das "https://" zu ersetzen ist, es darf auch jede beliebige Webseite sein die SSL Verschlüsselung nutzt.

Damit funktioniert dann auch anschauen des Router Zertifkats einwandfrei, selbst dann, wenn man bei Firefox tatsächlich den nicht funktionierenden Zertifkatbetrachter einbaut.

Durch Post 9319804 hierhergekommen...das hast Du ja wirklich so benannt. 😉

Es kommen aber nicht die gleichen Ausgaben (bei derselben Domain, selbstverständlich), so fehlen bspw. die NotBefore-Ausgaben im folgenden Block:

Certificate chain
 0 s:CN = noscript.net
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---

Nicht, daß es am fehlenden Relogin nach Hinzufügen in .bashrc liegt (aber prinzipiell funktioniert's ja).

$ bash --version
GNU bash, version 5.1.16(1)-release (x86_64-pc-linux-gnu)
(snip)
$ openssl version
OpenSSL 1.1.1o  3 May 2022
$

Arch-based.

Bei mir ist es so:

declare  -f zertifikatguck 

zertifikatguck () 
{ 
    echo | openssl s_client -connect "$@":443
}

zertifikatguck Befehl auf noscript.net:

zertifikatguck noscript.net

CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = noscript.net
verify return:1
---
Certificate chain
 0 s:CN = noscript.net
   i:C = US, O = Let's Encrypt, CN = R3
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jun 13 06:24:14 2022 GMT; NotAfter: Sep 11 06:24:13 2022 GMT
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jan 20 19:14:03 2021 GMT; NotAfter: Sep 30 18:14:03 2024 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = noscript.net
issuer=C = US, O = Let's Encrypt, CN = R3
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, prime256v1, 256 bits
---
SSL handshake has read 4796 bytes and written 440 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: 05F3B6F3DF691CA10B4BD48BF34C92E1421F1BB6B95E85AA39DD68417E3B7D07
    Session-ID-ctx: 
    Master-Key: 189FC7F0D873E1F2F6F9C74E1F3E92EDED0D8401941BF6A01A07DAE765C55D90A780B7B621F3C1B522D4680D2851A1D1
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 68 86 17 b6 80 3a ba bf-48 af f7 a0 da 30 05 3f   h....:..H....0.?
    0010 - 1d 99 f1 5b b0 d4 96 c2-db 24 bc b8 94 85 e3 62   ...[.....$.....b
    0020 - c2 47 af fe 29 39 f3 cb-fc 0d da a9 2f ea b5 dc   .G..)9....../...
    0030 - 80 cf 05 e3 a4 ee 83 fa-d6 15 09 bc f7 6b 26 f1   .............k&.
    0040 - 1a 88 47 28 d0 a2 f3 29-9e a9 22 a0 fd 28 2d 92   ..G(...).."..(-.
    0050 - 0c 73 f4 72 34 43 71 b3-1b 0c 8d ba 0e 3b 5a ef   .s.r4Cq......;Z.
    0060 - c5 16 8a d0 2a c7 f9 24-0c 61 4a 01 6e 7e 09 a5   ....*..$.aJ.n~..
    0070 - 6f 4b d7 68 29 6e 31 b7-0c a2 73 c2 d2 06 e4 8f   oK.h)n1...s.....
    0080 - 04 88 a0 1d 05 1b 6b bc-7a 26 21 df 40 bb 5a e4   ......k.z&!.@.Z.
    0090 - 6c a0 2c 9e af 1c 04 9d-1a 27 62 c8 65 db e3 de   l.,......'b.e...
    00a0 - 3c 05 a5 b2 52 f8 1c 94-bc c3 e6 8a 11 4a 8d f5   <...R........J..
    00b0 - 96 5d 88 9f e8 7d 8e ce-e5 05 81 47 70 99 11 12   .]...}.....Gp...
    00c0 - 7f d7 68 43 8d 9a cf ac-c3 bc d1 65 3a bf 52 21   ..hC.......e:.R!

    Start Time: 1655131201
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---
DONE

Bash:

bash --version

GNU bash, Version 5.1.16(1)-release (x86_64-pc-linux-gnu)
Copyright (C) 2020 Free Software Foundation, Inc.
Lizenz GPLv3+: GNU GPL Version 3 oder jünger <http://gnu.org/licenses/gpl.html>

Dies ist freie Software.  Sie darf verändert und verteilt werden.
Es wird keine Garantie gewährt, soweit das Gesetz es zulässt.

Und nun wohl der entscheidende Unterschied, eine OpenSSL Version 3x:

openssl version

OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

trollsportverein schrieb:

Und nun wohl der entscheidende Unterschied, eine OpenSSL Version 3x:

Deswegen hab' ich's gepostet, weil schon vermutet.

In Arch setzt man noch auf 1.x (OpenSSL 1.x an sich ist immer noch im Support). Der Umbau auf 3.x scheint eine ziemliche Aktion zu sein, so richtig vorwärts geht's nicht.