Jeg er igang med at lave min egen web-server og her prøver jeg at få enabled HTTPS.
I den omgang har jeg brugt mbedTLS til at genere 2 certifikater: Certificate Authority og et Identity Certificate.
Jeg startede med at bruge RSA (2048 bit) og dette virkede fint i alle browsere. Problemet er at det er en tidskrævende process at lave en RSA key. Derfor ville jeg gerne benytte mig af ECC i stedet for.
Efter jeg fik skrevet min kode om, fik jeg noget der ligner valide certifikater. Jeg kan også fint oprette https op imod firefox, IE, Edge når jeg har lagt mit CA ind i min trust store. Men chrome skriver: NET::ERR_CERT_INVALID. Kigger jeg i Wireshark for Chrome får jeg "Certificate Unknown (46)" - som min klient sender op imod serveren. For Firefox kommer jeg fint videre.
Ser jeg på de logs der bliver lavet af mbedTLS, så får jeg både for Firefox og Chrome: selected ciphersuite: TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 Hvilket også er det jeg forventer, eftersom jeg bruger MBEDTLS_ECP_DP_SECP384R1 og MBEDTLS_MD_SHA256 til min generering.
Er der nogle af jer som kan svare på, hvad Chrome gør anderledes, er de mere strikse på nogle områder i forhold til hvad der står i certifikaterne?
Jeg har stadig ikke fundet frem til en løsning. Dog kan jeg se, at alle public CA der findes, er lavet på RSA (2048 / 4096). Der hvor folk bruger ECC er til deres Identity Certificates.
Hvis jeg lavet et RSA CA og får den til at signe en CSR der er bygget på ECC, så virker det fint, det er dog ikke det jeg ønsker.
Hvis nogle har lyst til at prøve mine certifikater af, så er de her: -----BEGIN CERTIFICATE----- MIIB1DCCAXegAwIBAgIBAjAMBggqhkjOPQQDAgUAMC0xCzAJBgNVBAMMAkNBMREw DwYDVQQKDAhtYmVkIFRMUzELMAkGA1UEBhMCVUswHhcNMDEwMTAxMDAwMDAwWhcN MzAxMjMxMjM1OTU5WjA6MRIwEAYDVQQDDAkxMjcuMC4wLjExFzAVBgNVBAoMDkFs Y2F0ZWwtTHVjZW50MQswCQYDVQQGEwJGUjBZMBMGByqGSM49AgEGCCqGSM49AwEH A0IABAFJB20J+8MF4EZzgGr6xA/BcFUbql7flEVk2ocdbPjoaP98i9OpL50tFrl0 hsOxKBg/EbLy3jUMvyo7gqO+oCmjeTB3MBoGA1UdEQQTMBGCCTEyNy4wLjAuMYcE fwAAATAJBgNVHRMEAjAAMB0GA1UdDgQWBBTSJlUhLJaSy9uqlOuaRnvzbgGJITAf BgNVHSMEGDAWgBQCVJsrGDdNCH0GcagWhxSG4r6KRzAOBgNVHQ8BAf8EBAMCBaAw DAYIKoZIzj0EAwIFAANJADBGAiEA3BGRVC2PwQanxSbkWg34Q+MNKenb7XtRM1kG te6y2MkCIQCaKMdhBB/hz6JzW0jDKZJs8dRKv9p6dmQ4z18cSYChTw== -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIBrTCCAVGgAwIBAgIBATAMBggqhkjOPQQDAgUAMC0xCzAJBgNVBAMMAkNBMREw DwYDVQQKDAhtYmVkIFRMUzELMAkGA1UEBhMCVUswHhcNMDEwMTAxMDAwMDAwWhcN MzAxMjMxMjM1OTU5WjAtMQswCQYDVQQDDAJDQTERMA8GA1UECgwIbWJlZCBUTFMx CzAJBgNVBAYTAlVLMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEnUADXepp+Ipb eP1lSvU50Nm8VbyyAoJgyeVAeTwdpulND4ZEA7DL2Eebw4IVZ1Fljg4UqbMfrWrN l3quv2Zu7qNgMF4wDAYDVR0TBAUwAwEB/zAdBgNVHQ4EFgQUAlSbKxg3TQh9BnGo FocUhuK+ikcwHwYDVR0jBBgwFoAUAlSbKxg3TQh9BnGoFocUhuK+ikcwDgYDVR0P AQH/BAQDAgGGMAwGCCqGSM49BAMCBQADSAAwRQIhAPrReZlTWovCu7vLGuZUELRO otn80NUObHyLDbkc4O7TAiANhEy4WUc3RryT6zelDifIKuuM+hUMFNVclwiIVtWC ug== -----END CERTIFICATE-----
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
