Überprüfen Sie das FTP-Zertifikat anhand des Fingerabdrucks oder der Seriennummer

806
Arch Linux Tux

Ich möchte eine verschlüsselte Verbindung zu einem FTP-Server herstellen. FileZilla zeigt einige Informationen zum Zertifikat an, das vom Server an mich gesendet wurde.

  1. Es würde mir helfen, wenn es eine Site gibt, die Fingerprint / Seriennummer des Zertifikats als Eingabe akzeptiert und anzeigt, ob eine Zertifizierungsstelle die Domäne des Zertifikats bestätigt. Gibt es eine solche Seite / kennt jemand eine solche Seite?

Sie finden viele Websites, um online Informationen zu SSL-Zertifikaten zu erhalten.

Also habe ich versucht zB https://www.digicert.com/help/

  1. Der Fingerabdruck der auf digicert.com angezeigten Domain und der von FileZilla angezeigte Fingerabdruck des Zertifikats (SHA1) stimmen jedoch nicht überein.

Offenbar beim Lesen aus der Antwort auf die Frage " Kaufen eines SSL-Zertifikats für nur eine Subdomäne" gibt es Zertifizierungsstellen, die einzelne Zertifikate für verschiedene Subdomänen über SNAs unterstützen. Es scheint so zu sein (siehe diesen Beitrag ), dass man eine unbegrenzte Anzahl von Subdomains mit demselben Zertifikat signieren kann. Thawte erlaubt jedoch nur bis zu 25 verschiedene Subdomains. Ich denke, es gibt unterschiedliche Anzahlen möglicher Subdomains in einem einzigen Zertifikat, abhängig von der Zertifizierungsstelle, die das Zertifikat signiert.

  1. Für verschiedene Subdomains des FTP-Servers müssen die Zertifikate also nicht unbedingt übereinstimmen, oder?

  2. Der Fingerabdruck ist vom Zertifikat 22:ed:aa:c0:9f:0b:97:65:a2:20:b2:73:eb:52:5e:26:75:ee:b3:12

  3. Dem Vorschlag von Martin Prikryl folgend, habe ich WinSCP erleichtert. Ich erhalte jedoch die Meldung von WinSCP, dass es sich um ein selbstsigniertes Zertifikat handelt. WinSCP findet es also definitiv nicht in den vertrauenswürdigen Windows-Zertifikaten, oder?

3

1 Antwort auf die Frage

1
Martin Prikryl

  1. Ich glaube nicht, dass es möglich ist, den Domänennamen anhand eines Zertifikatfingerabdrucks nachzuschlagen. Mir ist eine solche Registrierung nicht bekannt.

  2. Das von einem FTP-Server verwendete Zertifikat muss nicht mit dem für einen HTTP-Server verwendeten Zertifikat identisch sein (dies wird unter https://www.digicert.com/help/ angezeigt ).

  3. Ja, jede Subdomain kann ein anderes Zertifikat haben.

Wenn Sie uns zeigen, welchen Fingerabdruck Sie erhalten, und den Hostnamen, erhalten Sie möglicherweise eine genauere Antwort.

Sie können auch versuchen, einen FTP-Client zu verwenden, mit dem der Fingerabdruck anhand von vertrauenswürdigen Windows-Stammzertifikaten überprüft werden kann. Damit Sie es nicht manuell überprüfen müssen.

Zum Beispiel macht der FTP-Client von WinSCP dies (FileZilla nicht).

(Ich bin der Autor von WinSCP)

Verwandte Probleme