PythonがSSL/TLS接続のCRLを確認できませんでした

Question

Python 3.4では、証明書がVERIFY_CRL_CHECK_LEAFまたはVERIFY_CRL_CHECK_CHAINに設定されているかどうかを確認するために使用できるverify_flagsです。

私はテストのための簡単なプログラムを書いた。しかし、私のシステムでは、このスクリプトは完全に有効であってもANY接続を検証することができませんでした。

import ssl 
import socket 

def tlscheck(domain, port): 
     addr = domain 

     ctx = ssl.create_default_context() 
     ctx.options &= ssl.CERT_REQUIRED 
     ctx.verify_flags = ssl.VERIFY_CRL_CHECK_LEAF 

     ctx.check_hostname = True 

     #ctx.load_default_certs() 
     #ctx.set_default_verify_paths() 
     #ctx.load_verify_locations(cafile="/etc/ssl/certs/ca-certificates.crt") 

     sock = ctx.wrap_socket(socket.socket(), server_hostname=addr) 
     sock.connect((addr, port)) 

     import pprint 
     print("TLS Ceritificate:") 
     pprint.pprint(sock.getpeercert()) 
     print("TLS Version:", sock.version()) 
     print("TLS Cipher:", sock.cipher()[0]) 
     exit() 

tlscheck("stackoverflow.com", 443) 

私のコードは常にssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:645)で終了します。

最初に、証明書データベースが正しく読み込まれていないと思われました。しかし、私はload_default_certs()、set_default_verify_paths()、load_verify_locations(cafile="/etc/ssl/certs/ca-certificates.crt")を試したが、どれも働いていなかった。

また、ctx.options &= ssl.CERT_REQUIREDは期待どおりに動作し、証明書チェーンが信頼できるかどうかを判断できます。しかし、CRLではなく...私のCAが正しいことも示しています。

「/etc/ssl/certs/ca-certificates.crt」には有効なCAが含まれています。何が問題ですか？

Answer 1

CRLをチェックするには、CRLを手動でダウンロードし、適切な場所に配置して、基礎となるOpenSSLライブラリが見つけられるようにする必要があります。 CRLの自動ダウンロードはなく、CRLを探す場所も直感的ではありません。あなたができること：

• 証明書からCRL配布ポイントを取得します。
  openssl crl -inform der -in sha2-ha-server-g5.crl > sha2-ha-server-g5.crl.pem
• がに場所を追加：stackoverflow.comについて1はhttp://crl3.digicert.com/sha2-ha-server-g5.crl
• これは、次のステップで期待されているものですので、DER形式からPEM形式にそれを変換
• そこから現在のCRLをダウンロードしていますverify_locations：
  ctx.load_verify_locations(cafile="./sha2-ha-server-g5.crl.pem")

あなたがCRLに対して証明書を検証することができますこの方法。