Регистрация Войти
Рейтинг:0
avatar Server

клиент stunnel принимает любой одноранговый сертификат

флаг cn
user35042

У меня есть машина с Linux, которая подключается к удаленному серверу MySQL с помощью stunnel 5.56.Я скачал сертификат удаленного сервера и вставил его в /etc/ssl/сертификат/mysql-сервер.pem. Вот конфигурация stunnel моей Linux-машины:

# /etc/stunnel/mysql.conf
отладка = 6

[mysql-сервер]
клиент = да
принять = 127.0.0.1:3326
подключение = mysql-remote.example.com:3307
проверитьПер = да
CAfile = /etc/ssl/cert/mysql-server.pem

Когда я запускаю службу, туннель устанавливается, и вот что я вижу в журналах:

stunnel: LOG5[ui]: stunnel 5.56 на платформе x86_64-pc-linux-gnu
stunnel: LOG5[ui]: скомпилировано/запущено с OpenSSL 1.1.1k 25 марта 2021 г.
stunnel: LOG5[ui]: Threading:PTHREAD Sockets:POLL,IPv6,SYSTEMD TLS:ENGINE,FIPS,OCSP,PSK,SNI Auth:LIBWRAP
stunnel: LOG5[ui]: Чтение конфигурации из файла /etc/stunnel/mysql.conf
stunnel: LOG5[ui]: метка порядка байтов UTF-8 не обнаружена
stunnel: LOG5[ui]: режим FIPS отключен
stunnel: LOG6[ui]: Инициализация службы [mysql-сервер]
stunnel: LOG5[ui]: конфигурация успешна
stunnel: LOG6[ui]: служба [mysql-сервер] (FD=9) привязана к 127.0.0.1:3326
stunnel4[3372706]: запуск туннелей TLS: /etc/stunnel/mysql.conf: запущен (не указан pid=pidfile!)
stunnel: LOG6[cron]: выполнение заданий cron
stunnel: LOG6[cron]: задания Cron завершены за 0 секунд

В качестве эксперимента я скачал сертификат, используемый https://www.google.com и сохранил его в /root/google.pem. Я изменил приведенную выше конфигурацию Stunnel, изменив CA-файл чтобы указать на сертификат Google:

отладка = 6

[mysql-сервер]
клиент = да
принять = 127.0.0.1:3326
подключение = mysql-remote.example.com:3307
проверитьПер = да
CAfile = /root/google.pem

Когда я перезапускаю stunnel, все работает! То есть stunnel делает нет похоже, все равно, какой сертификат находится в CAfile. Это не может быть так, как должна работать проверка одноранговых сертификатов. Что я делаю не так?

(Примечание: я также пытался добавить проверить = Н с Н быть 2, 3 и 4 с теми же результатами.)

Технические детали: запуск stunnel из пакета Debian bullseye stunnel4 версия 3:5.56+dfsg-10.

45
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.