Wie Sie überprüfen, wenn ein X509-Zertifikat ist "Extended Validation" eingeschaltet?

Ich bin kämpfen, um zu finden, eine zuverlässige Möglichkeit zu überprüfen, aus meinem C# (.Net 4.0) - Anwendung, wenn ein X509Certificate - (oder X509Certificate2) hat die "Extended Validation" (EV) - flag gesetzt ist. Kennt jemand die beste Methode?

  • Willst du einfach nur prüfen, ob das cert soll ein EV-cert, oder Sie wollen auch, um die eigentliche extended validation?
InformationsquelleAutor KenD | 2013-02-05
  1. 21

    Könnte man überprüfen, ob die X509Certificate enthält eine dieser OIds. Zusätzlich können Sie überprüfen, Chrom-Quelle für eine Liste der implementierten OIds. Sie finden die Quelle hier. Wenn Sie möchten, zu bleiben, Firefox, können Sie sich die Umsetzung hier.

    Ich nun aktualisiert, meine Quelle und es getestet. Ich habe eine schriftliche kleine Methode zum validieren einer X509Certificate2 gegen die OId-Liste aus der Wikipedia/Chrom. Bei dieser Methode bin ich mit der Wikipedia-Liste, könnte es besser sein, nehmen Sie die Chrom-Liste statt.

    Wie ist der OId gespeichert?

    Jeder CAhat einen oder mehrere ObjectIds OIds. Sie sind nicht gespeichert, wie eine Erweiterung, wie Sie vielleicht erraten, sind Sie gespeichert, wie ein Eintrag in der Policy-Erweiterungen. Um die genaue Ausdehnung ist es empfehlenswert, verwenden Sie die Oid des Policy Extension sich dann eher mit einem Freundlichen Namen. Die OId des Policy-Erweiterungen ist 2.5.29.32.

    Extrahieren der Informationen

    Um die inneren Inhalte des Policy-Erweiterungen, die wir benutzen können System.Security.Cryptography.AsnEncodedData konvertieren es in eine lesbare string. Die Zeichenkette enthält, die Politik, die wir brauchen, um ein match gegen unsere string[] zu gewährleisten, wenn es enthält die OIds eines EV Certificate.

    Quelle

        ///<summary>
    ///Checks if a X509Certificate2 contains Oids for EV
    ///</summary>
    ///<param name="certificate"></param>
    ///<returns></returns>
    private static bool IsCertificateEV(X509Certificate2 certificate)
    {
        //List of valid EV Oids
        //You can find correct values here:
        //http://code.google.com/searchframe#OAMlx_jo-ck/src/net/base/ev_root_ca_metadata.cc&exact_package=chromium
        //or in Wikipedia
        string[] extendedValidationOids = 
        {
            "1.3.6.1.4.1.34697.2.1",
            "1.3.6.1.4.1.34697.2.2",
            "1.3.6.1.4.1.34697.2.1", 
            "1.3.6.1.4.1.34697.2.3", 
            "1.3.6.1.4.1.34697.2.4",
            "1.2.40.0.17.1.22",
            "2.16.578.1.26.1.3.3",
            "1.3.6.1.4.1.17326.10.14.2.1.2", 
            "1.3.6.1.4.1.17326.10.8.12.1.2",
            "1.3.6.1.4.1.6449.1.2.1.5.1",
            "2.16.840.1.114412.2.1",
            "2.16.528.1.1001.1.1.1.12.6.1.1.1",
            "2.16.840.1.114028.10.1.2",
            "1.3.6.1.4.1.14370.1.6",
            "1.3.6.1.4.1.4146.1.1",
            "2.16.840.1.114413.1.7.23.3",
            "1.3.6.1.4.1.14777.6.1.1", 
            "1.3.6.1.4.1.14777.6.1.2",
            "1.3.6.1.4.1.22234.2.5.2.3.1",
            "1.3.6.1.4.1.782.1.2.1.8.1",
            "1.3.6.1.4.1.8024.0.2.100.1.2",
            "1.2.392.200091.100.721.1",
            "2.16.840.1.114414.1.7.23.3",
            "1.3.6.1.4.1.23223.2", 
            "1.3.6.1.4.1.23223.1.1.1", 
            "1.3.6.1.5.5.7.1.1",
            "2.16.756.1.89.1.2.1.1",
            "2.16.840.1.113733.1.7.48.1",
            "2.16.840.1.114404.1.1.2.4.1",
            "2.16.840.1.113733.1.7.23.6",
            "1.3.6.1.4.1.6334.1.100.1",
        };

        //Logic:
        //Locate Certificate Policy Extension
        //Convert to AsnEncodedData (String)
        //Check if any of the EV Oids exist
        return (
                from X509Extension ext in certificate.Extensions 
                where ext.Oid.Value == "2.5.29.32" 
                select new AsnEncodedData(ext.Oid, ext.RawData).Format(true))
                .Any(asnConvertedData => extendedValidationOids.Where(asnConvertedData.Contains).Any()
            );
    }

    Wenn Sie einige Quelle für die ersten Schritte:

        static void Main(string[] args)
    {
        //Create Delegate for analysis of X509Certificate
        ServicePointManager.ServerCertificateValidationCallback = ValidateServerCertificate;

        //Make sample request to EV-Website to get Certificate
        var wc = new WebClient();
        wc.DownloadString("https://startssl.com");  //EV
        wc.DownloadString("https://petrasch.biz");  //Not EV
        Console.ReadLine();
    }

    public static bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
    {
        var cert = (X509Certificate2) certificate;
        Console.WriteLine("Certificate: " + cert.GetNameInfo(X509NameType.SimpleName, true) + " -> " + IsCertificateEV(cert));
        return true;
    }

    Wenn jemand weiß, einen besseren Weg, um dieses Ziel zu erreichen, lassen Sie es uns bitte wissen.

    • Fantastisch - das bringt mich zu, wo ich sein muss. Danke!!!
    • Du bist herzlich willkommen.
    • Leider scheint dies nicht zu funktionieren. Versuchen, diese arbeiten mit startssl.com scheint in Ordnung. Wenn Sie versuchen, ein persönliches SSL-Zertifikat, dieses wird Ihnen sagen, dass es EV, auch. Ich erkannte, dass der OID gespeichert CertificatePolicy. Ich Teste derzeit mit CAPI erhalten Sie eine Liste dieser Maßnahmen, aber ich bin nicht in der Lage, Zugriff auf diese Liste. Wäre dies die Lösung.
    • Ich reparierte dieses problem und schrieb meine Antwort. Es enthält jetzt eine Methode zum überprüfen und einige Quelle auf die schnelle testen. Außerdem ließ ich einige Zeilen, um zu verstehen, wie dies erreicht werden kann.
    • Code könnte dazu verleitet werden, es hatte ein EV-Zertifikat, wenn es nicht. Stellen Sie sich ein cert enthalten, dass Verisign EV OID, aber dann hatte Digicert Unterschreiben. Digicert wahrscheinlich wäre das egal, solange es nicht in Konflikt geraten mit Ihrer OID-EV. Oder sogar ein self signed cert verleiten könnten, je nachdem, auf andere Kontrollen. Um es zu beheben, ich glaube, die OID muss gekoppelt werden mit einem Emittenten.
    • Vielen Dank für Ihren Kommentar. Die würden sogar erhöhen das Niveau der Sicherheit.

    InformationsquelleAutor Dennis Alexander
  2. 7

    Ich dachte, ich würde post, der eine vollständige Antwort, obwohl diese Frage schon Recht alt ist. Ich werde nicht piggy-back off der vorhandenen Antwort so, dass diese abgeschlossen ist.

    Einem EV-Zertifikat hat ein paar Schecks, die brauchen, um passieren, um für einen browser zu berücksichtigen, dass das Zertifikat ist EV.

    1. Dass das Zertifikat eine Policy-Id bekannt ist, dass es sich um ein EV-policy.
    2. Das Zertifikat der root-Fingerabdruck übereinstimmt angeheftete Politik-id.
    3. Das Zertifikat muss für den pass online-sperrüberprüfung.
    4. Wenn das Zertifikat notBefore (Ausstellungsdatum) ist nach 1/1/2015, muss das Zertifikat Unterstützung-Zertifikat Transparenz.
    5. Das Zertifikat muss ausgestellt werden von einer vertrauenswürdigen root.
    6. Dass alle Ketten sind nur gültig, wenn es mehrere Vertrauen Pfade.

    Let ' s sezieren jedes dieser.

    Policy Identifier

    Zertifikat hat eine Erweiterung namens policy-IDS. Erweiterungen aus zugegriffen werden kann X509Certificate2.Extensions Eigenschaft. Die policy-identifier-extension hat eine Objekt-Id ("OID") von 2.5.29.32. Damit können wir die raw-Erweiterung mit so etwas wie dieses:

    var extension = certificate.Extensions["2.5.29.32"]

    Wenn diese null zurückgibt, bedeutet, dass es gar keine Richtlinien, können Sie rechts von der Fledermaus übernehmen, dies ist nicht ein EV-Zertifikat.

    Wahrscheinlicher, obwohl das Zertifikat hat eine Art von Politik. In diesem Fall müssen Sie die Daten zu entschlüsseln. Das Attribut wird es geben, um Sie im raw-ASN.1, die wir brauchen, um Sinn zu machen aus ihm heraus.

    Leider gibt es nichts in .NET, die können es tun, aus der box heute. Allerdings CryptDecodeObjectEx können es tun, wenn Sie plattformaufrufe. Die Besonderheiten, dabei lasse ich aus, aber es gibt genügend Informationen um zu zeigen, wie man diese Funktion aufrufen. Sie werden wollen, rufen Sie es mit der lpszStructType parameter auf einen Wert von (IntPtr)16. Dadurch erhalten Sie wieder eine CERT_POLICIES_INFO Struktur, die eine Zählung und Zeiger auf ein array von CERT_POLICY_INFO Strukturen. Diese Struktur ist ein Feld, auf dem es aufgerufen pszPolicyIdentifier. Es ist diese policy-OID, die wir interessiert sind.

    Jede Zertifizierungsstelle verfügt über ein oder mehrere OIDs, die Sie verwenden, um ein Zertifikat als EV. Jede ZERTIFIZIERUNGSSTELLE Dokumente, die Sie auf Ihrer Politik-Seite. Jedoch, der beste Ort, um eine up-to-date Liste der dies ist wahrscheinlich Chrom-Source-Code.

    Wenn das Zertifikat hat eine Politik, die mit einer dieser OIDs, dann bewegen wir uns auf die nächste Prüfung.

    Root-Fingerprint

    Wenn man sich die Chrom-Quelle im oben genannten link, du wirst sehen, neben der policy-IDS, es hält auch den SHA256-Fingerabdruck der root.

    Dies ist, weil zusätzlich zu dem Zertifikat die richtige OID, muss es von einer ZERTIFIZIERUNGSSTELLE ausgestellt, deren Fingerabdruck übereinstimmt. In den Chrom-Quelle, sehen wir etwas wie dieses:

    {{0x06, 0x3e, 0x4a, 0xfa, 0xc4, 0x91, 0xdf, 0xd3, 0x32, 0xf3, 0x08,
      0x9b, 0x85, 0x42, 0xe9, 0x46, 0x17, 0xd8, 0x93, 0xd7, 0xfe, 0x94,
      0x4e, 0x10, 0xa7, 0x93, 0x7e, 0xe2, 0x9d, 0x96, 0x93, 0xc0}},
    {
        //AC Camerfirma uses the last two arcs to track how the private key
        //is managed - the effective verification policy is the same.
        "1.3.6.1.4.1.17326.10.14.2.1.2", "1.3.6.1.4.1.17326.10.14.2.2.2",
    }

    Also das Zertifikat muss entweder das "1.3.6.1.4.1.17326.10.14.2.1.2" oder "1.3.6.1.4.1.17326.10.14.2.2.2" policy-IDS, sondern die Wurzel muss ein SHA1-Fingerabdruck des binären oben gesehen.

    Dies verhindert, dass ein Schurken-CA jemals mit einer Richtlinien-ID, die es nicht besitzen.

    Sperrüberprüfung

    Wenn der browser nicht in der Lage ist, zu überprüfen, ob das Zertifikat widerrufen, dann wird es nicht als ein EV-Zertifikat. Online Widerruf überprüfung muss durchgeführt werden, wenn der AUFTRAGGEBER kann die cache-Ergebnis.

    Können Sie durchführen, Widerruf Prüfung X509Chain.Build durch setzen des entsprechenden flags werden die auf die Kette vor dem Aufruf Build.

    Zertifikat Transparenz

    Dieser ist etwas schwieriger zu überprüfen, aber Google hat die entsprechende Dokumentation auf der Zertifikat die Transparenz-website. Wenn das Zertifikat ausgestellt wurde, nach 1/1/2015, Zertifikat Transparenz erforderlich ist. Einige Zertifikate sind auch auf der Whitelist von Chrome wie angegeben auf der Chrom-Projekt Seite.

    Vertrauenswürdigen Root -

    Dieses ist ziemlich geradlinig, aber muss das Zertifikat gehört zu einer vertrauenswürdigen Stammzertifizierungsstelle. Wenn das Zertifikat selbst signiert, es kann nicht sein, EV. Dies kann nochmals überprüft werden, beim aufrufen X509Chain.Build().

    Mehrere Vertrauen Pfade

    Ist es möglich, ein Zertifikat zu haben, mehrere Vertrauen Pfade, sagen, wenn das Zertifikat ausgestellt wurde, von einem Stamm war cross-unterzeichnet. Wenn es mehrere Vertrauen Pfaden, die alle Pfade gültig sein muss. Ebenfalls sperrüberprüfung getan werden muss, mit allen Pfaden. Wenn einer der Pfade, zeigen Sie das Zertifikat als revoziert, dann wird das Zertifikat ist nicht gültig.

    Leider .NET und auch Win32-haben nicht eine große Prüfung alle Zertifikats-Ketten oder sogar immer mehr als eine Kette, soweit ich weiß.

    Alle diese Kombination, wenn Sie alle übergeben, dann wird das Zertifikat kann als ein EV-Zertifikat.

    InformationsquelleAutor vcsjones
Schreibe einen Kommentar