Xem chứng chỉ SSL của một trang ngay lập tức chuyển hướng đến một trang khác


25

Vì vậy, tôi đã googled khá nhiều cho điều này nhưng có vẻ như google-fu của tôi làm tôi thất bại - xin lỗi nếu đây là một câu hỏi tầm thường và đã được trả lời, tôi không thể tìm thấy bất cứ điều gì về điều này

Tôi đang cố gắng chẩn đoán tên máy chủ chứng chỉ SSL không khớp. Khi tôi truy cập url được đề cập, nó sẽ chuyển hướng tôi đến một trang khác có chứng chỉ SSL chính xác. Tuy nhiên, một số khách hàng đang báo cáo rằng họ đang nhận được lỗi không khớp tên máy chủ chứng chỉ SSL. Giả định duy nhất của tôi là trang chuyển hướng có chứng chỉ sai và một số khách hàng đang để nó trượt vì nó giải quyết với một trang mới có chứng chỉ chính xác.

(Làm thế nào và tại sao vấn đề không thực sự là câu hỏi)

Câu hỏi:

Từ bên ngoài vào (còn gọi là khách hàng trên thế giới) - làm thế nào một người có thể xem chứng chỉ được phân phối bởi một trang tự động chuyển hướng đến một trang khác?


Một tài nguyên hữu ích khác là Kiểm tra Máy chủ SSL từ Phòng thí nghiệm SSL của Qualy.
TRiG

Câu trả lời:


35

Sử dụng openssl s_client piped để openssl x509 :

$ openssl s_client -connect foo.example.com:443 < /dev/null | openssl x509 -text

(Thêm -servername foo.example.comvào s_client lệnh nếu máy chủ sử dụng SNI .)

Việc chuyển hướng stdin từ / dev / null cho lần gọi đầu tiên của openssl sẽ ngăn không cho nó chờ đợi đầu vào.


2
Bạn cũng có thể dẫn đầu ra để openssl x509 -textthực sự nhìn thấy những gì trong chứng chỉ của máy chủ và chuyển hướng đầu vào của openssllệnh ban đầu /dev/nullđể lệnh không bị treo : openssl s_client -connect ... < /dev/null | openssl x509 -text. Tìm trường "Tên thay thế chủ đề X509v3".
Andrew Henle

@AndrewHenle Bổ sung tuyệt vời. Hãy chỉnh sửa câu trả lời của tôi nếu bạn muốn.
EEAA

Làm việc như một cơ duyên - Tôi chỉ dành một khoảng thời gian giới hạn với openSSL, nhưng mỗi khi tôi cần làm bất cứ điều gì liên quan đến nó, nó luôn sôi sục trở lại với nó haha ​​... Cảm ơn vì tiền boa!
Robert Petz

6
Nếu máy chủ sử dụng SNI, bạn nên thêm -servername foo.example.comvào các s_clienttùy chọn.
Bruno

Tôi không thấy chuỗi tin cậy ở đầu ra. Nếu tôi muốn xem liệu một trang web được VeriSign hoặc LetsEncrypt hoặc ChineseGov hoặc DO_NOT_TRUST_FiddlerRoot tin tưởng, tôi nên tìm gì?
Carl Walsh

7

Trong Firefox 57, nếu bạn mở Công cụ dành cho nhà phát triển và chuyển đến tab Mạng:

  1. Đảm bảo Persist Logsđược kiểm tra
  2. Truy cập URL quan tâm
  3. Nhấp vào hàng trên cùng (nghĩa là hàng tương ứng với yêu cầu đến máy chủ mà bạn quan tâm, dẫn đến phản hồi chuyển hướng)
  4. Nhấp vào Securitytab (xuống một nửa, vẫn trong Network)

Điều này sẽ cho phép bạn xem thông tin chứng chỉ như tên chung của nhà phát hành, chi tiết nhà phát hành, thời hạn hiệu lực và dấu vân tay.

Điều này làm việc cho tôi trên một trang web phản hồi với chuyển hướng 301 đến một trang web HTTPS khác. (Thật không may, câu trả lời được chấp nhận chỉ cho tôi chứng chỉ cho trang đích cuối cùng.)


Cảm ơn cho một phương pháp trình duyệt riêng. Bạn đã thử -servernametùy chọn với openssl? Điều đó có thể cho một kết quả khác, ngay cả khi đó là cùng một tên.
mwfearnley

@mwfearnley Không! Với openssl, tôi chỉ sao chép và dán từ câu trả lời và bỏ cuộc sau khi nó không hoạt động :) Cảm ơn vì lời đề nghị.
mpavey


1

Thay thế cho các chương trình riêng biệt được đề cập trong các câu trả lời khác, bạn cũng có thể tắt chuyển hướng tự động trong trình duyệt của mình.

Tùy chọn để thực hiện việc này thay đổi tùy theo trình duyệt, đây là các phương pháp dành cho Firefox và Chrome:


Không chắc ai đã đánh giá thấp điều này?
Robert Petz

Vâng, đây chính xác là những gì tôi muốn, một giải pháp hoàn toàn trên trình duyệt.
Michael12345

1
Điều này không làm việc cho tôi trong Chrome. Tôi có thể thấy 302 trong theo dõi mạng, nhưng tôi không thấy cách kiểm tra chứng chỉ từ dấu vết mạng. Nếu tôi nhấp vào tab Bảo mật, Chrome sẽ hiển thị cho tôi chứng chỉ từ trang web hiện tại (mục tiêu chuyển hướng).
Carl Walsh

Downvote có lẽ là do các câu trả lời "chỉ liên kết" có xu hướng bị thối rữa qua nhiều năm khi các sản phẩm thay đổi. Có lẽ câu trả lời này đã hoạt động trước khi Chrome giới thiệu tab Bảo mật?
Carl Walsh

1
@jpa Liên kết bạn cung cấp cho Chrome dường như giải thích cách bảo toàn nhật ký mạng sau khi chuyển hướng đã diễn ra, thay vì làm thế nào để ngăn Chrome theo dõi chuyển hướng.
mpavey
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.