我已经使用类似
的方式启动了 HTTPS 连接
httpsCert.connect();
其中 httpsCert 是 HttpsURLConnection httpsCert。
现在我执行类似 Certificate[] certs = httpsCert.getServerCertificates(); 的操作来检索服务器 x.509 证书。
I want to retrieve which root CA or the intermediary CA signed the certificate received above.
我的方法是查看上面收到的证书中的颁发者字段,但这是一个好方法吗?我的意思是有没有更好的方法来做到这一点?
其次,来自developer.android.com/HttpsUrlConnection , getServerCertificates () 似乎会返回用对等方的身份证书标识对等方的证书列表,后跟 CA。 在这种情况下,对于某些证书,例如 Google 应用程序获取的证书,有是证书的一部分,上面写着 Authority Information Access: CA 颁发者 - URI:http://pki.google.com/GIAG2.crt 但是,其他应用获取其他机构签署的证书时情况并非如此。
Second question is how does Android validate the certificate path for certificates signed by intermediary CAs ?
最佳答案
I want to retrieve which root CA or the intermediary CA signed the certificate received above.
如果您是在谈论缺少证书,那么您不能。这是 PKI 中一个众所周知的问题,称为“哪个目录”问题。问题是您不知道在哪里可以找到丢失的证书。该问题通过服务器发送构建链所需的所有证书来解决,以执行验证。
你仍然需要在某个地方建立信任;否则,坏人会向您发送他希望您信任的链条,而您也不会更明智。这就是为什么像浏览器和 cURL 这样的用户代理会携带一个像 cacert.pem 这样的列表。 .
事实上,一些配置不当的服务器不会发送所需的中间证书。在这种情况下,浏览器会携带一个中间物列表来填充缺失的部分。
另请参阅 Peter Gutmann 的 Engineering Security .
My approach has been to look at the issuer field in the certificate received above, but is it a good approach. I mean is there a better approach of doing this ?
链条大致就是这样构建的。当您使用颁发者的名称时,您使用的是专有名称(“目录说话”中的颁发者 DN)。还有一个主题 DN。 Issuer 是 authority,subject 是它颁发给的实体。
验证链时,称为“路径构建”。这会引导你到 RFC 4158, Internet X.509 Public Key Infrastructure: Certification Path Building .
只有 DN 通常是不够的,因为坏人可以重复使用相同的名称,而您也不会更聪明。因此,您经常使用 Authority Key Identifier(“目录中的 AKI”),它是发行者公钥的指纹或摘要。坏人无法通过伪造 AKI 来做有用的事情,因为他没有与之配套的私钥。
用于使元组唯一的其他东西是序列号。当 CA 使用相同的 DN 和相同的公钥重新颁发证书时,这一点很重要 - 只有序列号不同。当哈希值从 SHA-1 更改为 SHA-256 时,您会看到这种情况。
过去曾发生过仅重新发布和更改哈希的情况。这是更难追踪的路径验证失败之一,因为表面上看起来一切正常。您需要一段时间才能意识到 DN 和 AKI 正常,但 SN 不匹配。
Second question is how does Android validate the certificate path for certificates signed by intermediary CAs ?
Android 是 Java,Java 遵循 RFC。以下是您需要查阅的三个 RFC。这不是一个小话题,您可以写一本书来提供完整的处理方法:
“Internet X.509 公钥基础结构”也称为 PKIX。它是 Internet 的 PKI 配置文件。其他组织的 PKI 可以而且有时会有所不同。这只是意味着其他组织的规则可能与 PKIX 使用的规则和 RFC 中的文档不同。
请注意:“CA root”将是自签名的。 Subject DN 将与 Issuer DN 相同,Subject's Key Identifier(“directory speak”中的 SKI)将是发行者的 Authority Key Identifier(“directory speak”中的 AKI)等。此外,基本约束将具有 CA=true 并且它可能会被标记为关键。
中间 CA 证书将根据(或链接到)不同的证书颁发,因此主题 DN 不与颁发者 DN 相同。但与自签名根一样,基本约束将具有 CA=true 并且它可能会被标记为关键。
作为依赖方,您完全可以接受信任中间体而不是根,即使中间体已由根认证。那是你的特权。
关于java - 从 Android 中的 x.509 证书中获取 CA 详细信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34418037/
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
作为我的Rails应用程序的一部分,我编写了一个小导入程序,它从我们的LDAP系统中吸取数据并将其塞入一个用户表中。不幸的是,与LDAP相关的代码在遍历我们的32K用户时泄漏了大量内存,我一直无法弄清楚如何解决这个问题。这个问题似乎在某种程度上与LDAP库有关,因为当我删除对LDAP内容的调用时,内存使用情况会很好地稳定下来。此外,不断增加的对象是Net::BER::BerIdentifiedString和Net::BER::BerIdentifiedArray,它们都是LDAP库的一部分。当我运行导入时,内存使用量最终达到超过1GB的峰值。如果问题存在,我需要找到一些方法来更正我的代
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我需要从一个View访问多个模型。以前,我的links_controller仅用于提供以不同方式排序的链接资源。现在我想包括一个部分(我假设)显示按分数排序的顶级用户(@users=User.all.sort_by(&:score))我知道我可以将此代码插入每个链接操作并从View访问它,但这似乎不是“ruby方式”,我将需要在不久的将来访问更多模型。这可能会变得很脏,是否有针对这种情况的任何技术?注意事项:我认为我的应用程序正朝着单一格式和动态页面内容的方向发展,本质上是一个典型的网络应用程序。我知道before_filter但考虑到我希望应用程序进入的方向,这似乎很麻烦。最终从任何
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我想向我的Controller传递一个参数,它是一个简单的复选框,但我不知道如何在模型的form_for中引入它,这是我的观点:{:id=>'go_finance'}do|f|%>Transferirde:para:Entrada:"input",:placeholder=>"Quantofoiganho?"%>Saída:"output",:placeholder=>"Quantofoigasto?"%>Nota:我想做一个额外的复选框,但我该怎么做,模型中没有一个对象,而是一个要检查的对象,以便在Controller中创建一个ifelse,如果没有检查,请帮助我,非常感谢,谢谢