- Log ind eller Opret konto for at kommentere
- Anmeld denne kommentar
Desvære er der ingen af browserne der rent faktisk bruger TLSA-records til at validere SSL-certifikater, så hvordan tester man at det man har lavet virker?
GnuTLS indeholder et værktøj der hedder danetool, som både kan generere og teste TLSA-records. Det kræver at man har certifikatet liggende, men derefter er det let:
danetool --check=blog.hacking.dk --load-certificate ~/certs/wildcard_hacking_dk.crt
Hvis man ikke har certifikatet liggende kan man selvfølgelig lave en SSL-forbindelse og finde det den vej. For eksempel med 'gnutls-cli -V -p 443 blog.hacking.dk'. Så bliver certifikatet skrevet ud og man kan bare klippe/klistre.
Debian-pakkerne af GnuTLS understøtter ikke DANE på grund af licensproblemer. Det kræver derfor at man selv oversætter GnuTLS med dane slået til. Hvis man bare vil have værktøjerne liggende i source-kataloget er det ligetil, men det er ikke helt trivielt at lave nye debian-pakker med dane slået til.
Jeg tror iøvrigt at jeg skal begynde at bruge 'gnutls-cli' til at teste SSL istedet for 'openssl s_client' det virker som et noget mere brugervenligt værktøj.