הוספת שדה CRL לתעודות נטפרי

yzahn

לאחרונה נתקלתי בשתי תוכנות שמשתמשות בספריית libcurl.
הספרייה הנ"ל משתמשת במאגר התעודות של המערכת (כאשר משתשמים באופציה המתאימה), למרות זאת היא לא מצליחה לאמת תעודות שנטפרי מנפיקה מכיון שחסר שדה של "CRL Distribution Points"

השאלה שלי מאת המבינים, כמה זה יהיה קשה להוסיף שרת עבור CRL? או האם יש קושי או חסרון אחר?

תמונה של תעודה עם CRL:

yzahn

המחשה לבעיה:

Downloads\curl-7.68.0-win64-mingw\bin> set CURL_SSL_BACKEND=Schannel

Downloads\curl-7.68.0-win64-mingw\bin> curl https://google.com

curl: (35) schannel: next InitializeSecurityContext failed: Unknown error (0x80092012) - The revocation function was unable to check revocation for the certificate.

Downloads\curl-7.68.0-win64-mingw\bin> curl https://google.com  --ssl-no-revoke
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
......

עוד בנושא:

• https://github.com/curl/curl/issues/3727
• https://github.com/curl/curl/issues/4078
• https://github.com/curl/curl/issues/264

MacroShadow

לא הייתי מגדיר את עצמי מן המבינים, ועם זאת לא מסתבר שיש קושי כלשהו בהקצאת ספריה בשרת או אפילו שרת נפרד לצורך כך. השאלה היא איזה קובץ תשים באותה שרת, נכון לרגע זה, למיטב ידיעתי, אין אף תעודה שנטפרי הנפיקה וביטלה.

yzahn

@MacroShadow לכאורה אמור להיות קיים אפשרות לרשימה ריקה. (ואם אין, מקסימום שינפיקו תעודה ויפסלו אותה...)

MacroShadow

@yzahn אכן,מצאתי משהו מעניין בענין.

magicode

אני לא מכיר דרך להוסיף את ה CRL בתעודה בלי להצריך את כל המשתמשים להתקין את התעודה מחדש.

yzahn

נתקלתי בעוד תוכנה שלא עובדת בגלל חוסר CRL,

כאן הצלחתי לעקוף את הבעיה על ידי עריכת קובץ DLL של התוכנה
(מזל שמדובר בקובץ דוטנט שניתן לערוך את הקוד שלה יחסית בקלות):

במקום:

ערכתי כך:

והתוצאה: