Delphi Indy vérifier le certificat de serveur SSL

J'ai parcouru l'internet et n'ont pas trouvé une solution ou une méthode sur la façon de vérifier le certificat lors de la connexion via le protocole HTTPS à l'aide de TIdHTTP.

J'ai accroché jusqu'à un IdSSLIOHandlerSocketOpenSSL composant que l'IOHandler, définir la SSLModes, etc. mais quand je parcourir pour https://s3.amazonaws.com il ne peut pas vérifier le certificat.

OpenSSL (Indy) donne

"Erreur lors de la connexion avec SSL. SSL3_GET_SERVER_CERTIFICATE: Certificat de vérifier échec"

Les bibliothèques OpenSSL avez correctement chargé (vérifié avec WhichFailedToLoad). Le OnStatusInfo événement écrit ce qui suit:

Statut SSL: "avant de brancher l'initialisation"

Statut SSL: "avant de brancher l'initialisation"

Statut SSL: "SSLv2/v3 écrire client hello"

Statut SSL: "SSLv3 serveur de lecture bonjour"

Statut SSL: "SSLv3 lire certificat de serveur B"

Statut SSL: "SSLv3 lire certificat de serveur B"

Statut SSL: "SSLv3 lire certificat de serveur B"

Et OnVerifyPeer, AOk = False.

Comment puis-je obtenir pour vérifier correctement. Ce qui se passe?

Merci pour la lecture,
Adrian

OriginalL'auteur Adrian | 2012-11-27

  1. 10

    Vous devez implémenter un gestionnaire d'événement pour l'OnVerifyPeer événement de votre TIdSSLIOHandlerSocketOpenSSL composant.

    De IdSSLOpenSSL.pas:

    Note que vous devriez vraiment toujours
    mettre en œuvre OnVerifyPeer, sinon le certificat d'entre vous sont
    la connexion n'est PAS vérifié pour s'assurer qu'il est valide.

    Si vous voulez juste de considérer la validité de la même certificats de la Bibliothèque estime également valable, vous avez juste à le mettre en œuvre cette manière:

    function TForm1.IdSSLIOHandlerSocketOpenSSL1VerifyPeer(Certificate: TIdX509;
  AOk: Boolean; ADepth, AError: Integer): Boolean;
begin
  Result := AOk;
end;

    Comme Indy première vérifie la validité du certificat et de passer à côté de vous si il est Ok ou pas dans l'AOk paramètre. Le dernier mot est dans votre code, vous pourriez laisser passer certains types de mineur erreurs de validation, tout comme de jour, ou même demander à l'utilisateur si le certificat est accepté ou non en cas d'erreur (mineur ou pas).

    De comprendre pourquoi cela fonctionne de cette façon, vous pouvez aussi lire tous les commentaires en haut de la IdSSLOpenSSL.pas fichier:

    {

    Informations importantes concernant OnVerifyPeer:
    Rev 1.39 février 2005 délibérément brisé le OnVerifyPeer interface,
    qui (évidemment?) n'affecte que les programmes mis en œuvre que de rappel
    dans le cadre de la négociation SSL. Notez que vous devriez vraiment toujours
    mettre en œuvre OnVerifyPeer, sinon le certificat d'entre vous sont
    la connexion n'est PAS vérifié pour s'assurer qu'il est valide.

    Avant cela, si la bibliothèque SSL détecté un problème avec un certificat
    ou la Profondeur est insuffisante (c'est à dire le "Ok" paramètre dans VerifyCallback
    est de 0 /FALSE), puis, indépendamment de savoir si votre OnVerifyPeer renvoyé True
    ou Faux, la connexion SSL serait délibérément échoué.

    Cela a créé un problème en ce sens que même si il n'y avait qu'une place très réduite
    problème avec l'un des certificats de la chaîne (OnVerifyPeer est appelé
    une fois pour chaque certificat de la chaîne), que l'utilisateur peut
    ont été heureux de l'accepter, de la négociation SSL serait échoué. Cependant,
    modification du code pour permettre la connexion SSL lorsqu'un utilisateur a renvoyé True
    pour OnVerifyPeer aurait signifié que le code existant qui dépendait
    le rejet automatique de certificats non valides serait alors accepter
    les certificats non valides, ce qui aurait été inacceptable pour la sécurité
    changement.

    Par conséquent, OnVerifyPeer a été changé délibérément rompre code existant
    par l'ajout d'une AOk paramètre. Afin de préserver la précédente fonctionnalité, votre
    OnVerifyPeer événement doit faire "Result := AOk;". Si vous voulez examiner
    accepter les certificats SSL de la bibliothèque est considérée comme invalide, alors
    dans votre OnVerifyPeer, assurez-vous de vous assurer que le certificat
    vraiment est valide, puis définissez le Résultat est True. En réalité, en plus de
    vérification de l'AOk, vous devriez toujours mettre en œuvre le code qui vous assure de ne sont
    l'acceptation des certificats qui sont valides (au moins à partir de votre point de vue).

    Ciaran Costelloe, ccostelloe[_a_t_]flogas.ie

    }

    {

    RLebeau 1/12/2011: la Rupture OnVerifyPeer événement nouveau, cette fois pour ajouter un autre
    Erreur de paramètre (patch avec la permission de "jvlad", [email protected]). Cette
    aide de l'utilisateur code distinquish entre Auto-signé et non valides
    les certificats.

    }

    OriginalL'auteur jachguate

  2. 1

    Je sais que c'est un ancien post, mais c'est tout ce que je pouvais trouver pour résoudre le problème. Donc, je tiens à ajouter à Marcus de réponse pour les autres avec le même problème:
    Lorsque OpenSSL ne peut pas trouver le certificat racine sur le PC, l'Erreur sera de retour #19 (X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN), et de l'AOK sera faux pour le certificat Racine. Lorsque vous chargez manuellement le certificat racine à partir d'un fichier, AOK doit toujours renvoyer la valeur true (et que vous avez obtenu de certificat d'épinglage de quelque sorte trop):

    FSSLIOHandlerSocketOpenSSL.SSLOptions.RootCertFile := 'MyRoot.cer';

    OriginalL'auteur Piet du Preez

  3. 0

    Si vous obtenez une erreur comme SSL3_GET_SERVER_CERTIFICATE:certificate verify failed, alors continuer à lire:

    Il semble en Indy 10, que si vous définissez un VerifyDepth de 0, le 0 signifie en fait all.

    OriginalL'auteur Marcus Adams