Signatur-Algorithmen einer Zertifikatskette anzeigen

Da mit SHA1 signierte Zertifikate inzwischen als unsicher eingestuft werden, habe ich nach einer einfachen Möglichkeit gesucht, wie ich herausfinden kann, welche meiner Zertifikate davon betroffen sind.

Es reicht allerdings nicht, nur das Serverzertifikat auszutauschen. Es sollte auch die Zertifikatskette (Certificate chain) untersucht werden, da ggf. auch das Zwischen- und CA-Zertfikat ausgetauscht werden muss. Wobei das CA-Zertifikat natürlich nur von der CA, bzw. dem Herausgeber selbst (Geotrust, Thawte, etc) ausgetauscht werden kann.

Aufgerufen wird das Script so (kann dann z.B. in einer Schleife mit euren verschiedenen Servern/Ports gefüttert werden):

# ./check-ssl-chain.sh www.heise.de:443
    Signature Algorithm: sha256WithRSAEncryption
        Subject: C=DE, ST=Niedersachsen, L=Hannover, O=Heise Zeitschriften Verlag GmbH und Co KG, OU=Netzwerkadministration, CN=www.heise.de
    Signature Algorithm: sha256WithRSAEncryption

    Signature Algorithm: sha256WithRSAEncryption
        Subject: C=US, O=thawte, Inc., CN=thawte SHA256 SSL CA
    Signature Algorithm: sha256WithRSAEncryption

oder:

# ./check-ssl-chain.sh google.com:443
    Signature Algorithm: sha1WithRSAEncryption
        Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=google.com
    Signature Algorithm: sha1WithRSAEncryption

    Signature Algorithm: sha1WithRSAEncryption
        Subject: C=US, O=Google Inc, CN=Google Internet Authority G2
    Signature Algorithm: sha1WithRSAEncryption

    Signature Algorithm: sha1WithRSAEncryption
        Subject: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
    Signature Algorithm: sha1WithRSAEncryption

Das Beispiel 1 (Heise) zeigt, dass der Admin fleissig war und die Zertifikate schon gegen SHA256-signierte ausgetauscht hat. Google hingegen setzt noch mit SHA1 signierte Zertifikate ein.

Hier noch das Script:

#!/bin/sh
 
HOST=$1
TMP=`mktemp -d`
 
echo QUIT | openssl s_client -showcerts -connect $HOST 2>/dev/null | sed -ne '/BEGIN CERT/,/END CERT/p' | awk -v TMP="$TMP" '/BEGIN/{n++}{print >TMP"/out" n ".crt" }'
 
for i in `ls $TMP/out*`; do
  openssl x509 -in $i -noout -text | egrep "Signature Algorithm|Subject:"
  echo
done
 
rm -rf $TMP

SSH-Keys erzeugen und verwalten

Mit der SSH-Passphrase an KDE/Gnome anmelden

offending key aus known_hosts löschen

SFTP mit OpenSSH Boardmitteln

SSH als SocksProxy

SSH-Clientkonfiguration Multiplexing

SSH-Forwarding über SUDO behalten

SSH-Keys von OpenSSH nach SSH2 konvertieren und zurück

SSH-Tunnel

GPG / GnuPG / PGP Cheat-Sheet

PGP public key von Keyserver holen und exportieren

OpenSSL - TLS-/SSL-Zertifikate

Diffie-Hellman Parameterdatei Bitgröße ermitteln

(Zwischen-)Zertifikat Key und Zertifikatsrequest per Script auf Plausibilität prüfen

CAcert Root Zertifikat unter Debian/Ubuntu einbinden

Signatur-Algorithmen einer Zertifikatskette anzeigen

OpenVPN nach Hause

IPSec Roadwarrior-VPN via racoon

Tunnelüberwachung via Script

OpenVPN startet nicht (ca md too weak)

Signatur-Algorithmen einer Zertifikatskette anzeigen

No Comments