[zorp-hu] Most eppen ezzel szivok HTTPS! ;-]

Balazs Scheidler bazsi@balabit.hu
Thu, 1 Aug 2002 10:23:57 +0200


On Wed, Jul 31, 2002 at 11:40:58PM -0700, Ifj. Darvas Istvan wrote:
> szia
> ----- Original Message -----
> From: "HOLTZL Peter" <scott@balabit.hu>
> To: <zorp-hu@lists.balabit.hu>
> Sent: Wednesday, July 31, 2002 10:56 AM
> Subject: Re: [zorp-hu] Most eppen ezzel szivok HTTPS! ;-]
> 
> > mas. ugye tudod, hogy a te proxy-d ellenorzi a szerver cert-jet?
> > SZoval, ha nincs meg a certificate, akkor nem fog bekonnektalni!
> 
> OK! koszonom ;-] kozben meg egyszer elolvastam az ide vonatkozo
> referenciat es mukodik...kezdem kapizsgalni!
> 
> viszont lenne egy kerdesem
> 
> az SSL_VERIFY_OPTIONAL az nem azt jelenti, hogy alapbol REQUIRED, ha
> viszont negativ, akkor NONE?

azt jelenti, hogy megnezi a certet, de tovabbmegy, ha nem jo.

a none nem nezi meg a certet (ez az 1.4.4-ben kis bug volt, hogy ilyenkor is
megnezte, es logolt neked egy hibauzenetet, tehat 1.4.4-ben
SSL_VERIFY_OPTIONAL == SSL_VERIFY_NONE)

a REQUIRED elsosorban kliens oldalon hasznos, ahol a kliens nem kotelezoen
mutat certet, a REQUIRED azt jelenti, hogy mutatnia _KELL_, de aztan azt nem
ellenorzod.

a REQUIRED_TRUSTED pedig ellenorzi a cert megletet, majd megnezi, hogy az
altala ismert CA -k altal van-e hitelesitve, es hogy nem szerepel kapcsolodo
visszavonasi listan.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1