Проверить сертификат FTP по отпечатку пальца или серийному номеру

727
Arch Linux Tux

Я хочу установить зашифрованное соединение с FTP-сервером. FileZilla отображает некоторую информацию о сертификате, отправленном мне с сервера.

  1. Это помогло бы мне, если бы был сайт, который принимает отпечаток пальца / серийный номер сертификата в качестве входных данных и показывает, есть ли CA, который подтверждает домен сертификата. Есть ли такой сайт / кто-нибудь знает такой сайт?

Вы найдете много сайтов, чтобы получить информацию о SSL-сертификатах онлайн.

Поэтому я попробовал, например, https://www.digicert.com/help/

  1. Но отпечаток домена, отображаемого на digicert.com, и отпечаток сертификата (SHA1), отображаемого FileZilla, не совпадают.

Очевидно, что при чтении ответа на вопрос « Покупка SSL-сертификата только для одного субдомена» существуют ЦС, которые поддерживают отдельные сертификаты для разных субдоменов через SNA. Кажется, что это тот случай (см. Этот пост ), что можно подписать неограниченное количество поддоменов одним и тем же сертификатом. Однако thawte допускает только до 25 различных поддоменов. Таким образом, я предполагаю, что в одном сертификате может быть разное количество возможных поддоменов в зависимости от того, какой CA подписывает сертификат?

  1. Так что для разных поддоменов FTP-сервера сертификаты не обязательно должны совпадать, не так ли?

  2. Отпечаток пальца сертификата 22:ed:aa:c0:9f:0b:97:65:a2:20:b2:73:eb:52:5e:26:75:ee:b3:12

  3. Следуя предложению Мартина Прикрыла, я помог WinSCP. Но я получаю сообщение от WinSCP, что это самоподписанный сертификат. Так что WinSCP определенно не найдет его в доверенных сертификатах Windows, не так ли?

3

1 ответ на вопрос

1
Martin Prikryl

  1. I do not think it's possible to lookup domain name from a certificate fingerprint. I'm not aware of such registry.

  2. The certificate used by an FTP server does not need to be the same as the one used for an HTTP server (which is shown by the https://www.digicert.com/help/).

  3. Yes, each subdomain can have a different certificate.

If you show us, what fingerprint you get and the hostname, you may get a more concrete answer.

You can also try to use an FTP client that can verify the fingerprint against trusted Windows root certificates. So that you do not have to try verify it manually.

For example WinSCP FTP client does that (FileZilla does not).

(I'm the author of WinSCP)

Похожие вопросы