3
我在tls.Config中使用ClientCAs和ClientAuth選項在我的Go HTTP應用程序中執行基於證書的客戶端身份驗證。是否可以驗證提供的CRL的客戶端證書?我在x509包中看到有一些圍繞CRL的功能,但我不確定如何配置HTTP服務器來使用它們(即似乎沒有任何選項可能導致CRL也成爲tls.Config用過的)。如何在Golang中驗證客戶端證書是否符合CRL?
A
回答
6
是否有可能也驗證了針對提供CRL的客戶端證書?
是的,可以通過crypto/x509包中提供的功能(正如您在問題中正確說明的那樣)提供的功能。但是,crypto/tls.Config(由net/http消耗)等更高級別的接口不提供此功能。對CRL實施檢查的好機會可能是檢查net/http.Request.TLS.PeerCertificates。
有點背景:crypto/tls is maintained by security expert Adam Langley誰有opinion on revocation checking(原始來源是his blog)。雖然我沒有證據,但可以認爲這是一個故意的設計決定。
相關問題
- 1. uWSGI客戶端證書驗證CRL
- 2. 驗證客戶端證書
- 3. SSL證書客戶端驗證 - 如何?
- 4. 客戶端證書驗證與證書綁定相結合
- 5. 驗證PyOpenSSL中的客戶端證書
- 6. haproxy是否支持用於客戶端證書驗證的OCSP
- 7. SAVON是否支持客戶端證書身份驗證
- 8. WCF - 是否需要驗證客戶端的服務證書?
- 9. PHP客戶端驗證https證書
- 10. SSL客戶端證書驗證優化
- 11. 驗證x509客戶端證書
- 12. c#驗證CRL列表中的證書
- 13. 如何在JAX-WS客戶端中禁用證書驗證?
- 14. Azure中的客戶端證書身份驗證和CA證書
- 15. 客戶端身份驗證 - 處理客戶端證書
- 16. 客戶端證書認證
- 17. 如何驗證Ruby on Rails中的客戶端證書請求?
- 18. 如何使用可信中介CA證書驗證客戶端證書?
- 19. CA證書是否與客戶端證書相同?
- 20. 如何使用本地CRL文件(C#)在驗證過程中檢查客戶端證書吊銷
- 21. 客戶端證書
- 22. 客戶端證書
- 23. 如何驗證java是否在相互身份驗證方案中發送客戶端證書
- 24. WCF證書身份驗證僅服務(無客戶端證書)
- 25. 如何在Android中使用p12證書(客戶端證書)
- 26. 具有混合身份驗證流程的客戶端證書
- 27. 覆蓋客戶端證書身份驗證驗證
- 28. WCF客戶端證書驗證+ Windows身份驗證
- 29. C#如何讓SslStream忽略客戶端證書驗證
- 30. 如何支持SSL客戶端證書身份驗證?
謝謝@flowlo,我會深入探討您建議的PeerCertificates選項。至於Adam在CRL上的帖子,我從客戶端角度得到他的評論。當使用證書進行服務器端身份驗證時,CRL仍然至關重要。 – Bryan
手動驗證對等證書看起來是一種有效的方法。只需要在服務器調用堆棧中作爲中間件來完成。爲了將來的參考,https://github.com/cloudflare/cfssl/blob/master/revoke/revoke.go上的代碼提供了一些很好的例子,說明如何將對等證書與CRL進行實際比較。 – Bryan