2013-07-02 35 views
21

Şu anda libmproxy'u kullanarak, HTTPS Web sayfalarına istekte bulunmak için telnetlib kullanır. Ancak, aşağıdaki hata ortaya çıkar: Libmproxy'de 'tlsv1 alert unknown ca' hatası nasıl önlenir?

Error: [('SSL routines', 'SSL3_READ_BYTES', 'tlsv1 alert unknown ca')] 

bu sayfayı kullanan belgesi için kefil CA kimliğini doğrulamak için yetersizlik ilişkili olabileceğine inanıyoruz. Doğrulamanın atlanmasına olanak tanıyan (ya da kapatarak) açabileceğim bir ayar olmalı diye düşünürüm - dijital imzalayıcının kimliğini doğrulamakla ilgilenmiyorum.

Muhtemelen çirkin bir çözümün, istisnayı yakalamak ve göz ardı etmek için kodu yamaları olabileceğini düşünüyorum, ancak bunu yapmak için daha temiz ve daha desteklenen bir yol tercih ediyorum.

Bu sorunu önlemek/çözmek için iyi bir yol nedir?

Çok teşekkürler!

+2

Doğrulamayı atlamanın, bağlantıyı olası MITM saldırılarına karşı savunmasız hale getirdiğini biliyor musunuz? – Bruno

+1

Evet. Bu, doğal olarak güvenli olmayan bir ortamdır ve potansiyel olarak güvenli olmayan durumlara girmek için "Tamam" dır. Başlıklar için teşekkürler, yine de :) –

+1

Bunu kazmaya çalıştım, ama gerçekten "python" sorusu değil - cevap temeldeki kütüphanelere özgü olacak. Libmproxy, openssl kütüphanesini kullanan netlib kullanır gibi görünüyor, bu yüzden openssl kütüphanesine bakarak ve orada validasyonu nasıl kapatacağımı anlamaya başladım, sonra netlib'in bunu etkinleştirmenin bir yolu olup olmadığını görün, sonra libmproxy olup olmadığını görün netlib yapmak için bir yol var openssl cert doğrulamak değil yapar .. –

cevap

2

Bu, kullanıcıya sunulan proxySG sertifikası güvenilir bir CA tarafından imzalanmadığında gerçekleşir.

Bu hatayı da yaptım, grup ilkesi aracılığıyla gerçek tarayıcıya CA'yı (ssl proxy için kullanılan) iterek düzeltdim.

+0

Bakmaya değer gibi görünüyor. Nasıl yapılacağını ve bu terimlerin ne anlama geldiğini açıklayabilir misiniz? –

2

Windows istemciler varsa, certutil'i kullanabileceğinizi düşünüyor.

http://support.microsoft.com/kb/555252

Linux istemcileri için kullanabilirsiniz: Mac istemciler için

sudo mkdir /etc/share/certificates/extra && cp cacert.crt /user/share/certficates/extra/cacert.crt 
sudo dpkg-reconfigure ca-certificates 

: libmproxy web sayfasını okuduktan

Ayrıca (https://apple.stackexchange.com/questions/80623/import-certificates-into-system-keychain-via-the-command-line bu cevabı var)

sudo security add-trusted-cert -d -r trustRoot -k \ 
"/Library/Keychains/System.keychain" \ 
"/private/tmp/certs/certname.cer" 

c yükleyebiliyor gibi görünüyor ustom sertifikaları. Müşterilerinizin zaten güvendiğiniz bir iç sertifika yetkiniz varsa, oradan sadece sertifika üretmek isteyebilirsiniz.

İlgili konular