freeswitchforum.com
https://freeswitchforum.com/

tls-verify-depth
https://freeswitchforum.com/viewtopic.php?f=6&t=1177
Страница 1 из 1

Автор:  vbog [ 12 ноя 2020 11:30 ]
Заголовок сообщения:  tls-verify-depth

Приветствую экспертов!

Мне, конечно, неудобно задавать "детский" вопрос, но что-то я запутал сам себя.

Действительно ли freeswitch проверяет сертификат in depth?
Вот, задал 0 и tls устанавливается успешно. А я всегда считал, что 0 это когда один самоподписанный сертификат. 1 когда есть сертификат CA. 2 когда есть еще промежуточный сертификат. Но, видимо, я неправильно понимал.

Итак, задал 0 и перезагрузил профиль
[+] 
Код:
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls [true]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-only [true]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-bind-params [transport=tls]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-sip-port [19264]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-cert-dir [/usr/local/freeswitch/certs/internal]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-passphrase []
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-date [true]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-policy [subjects_all|all]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-depth [0]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-verify-in-subjects [server|server1|server2|server3|server4|server5|server6|server7|server8|server9|server10|server11|server12|server13|server14|server15|client]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-version [tlsv1.2]
2020-11-12 09:01:57.567023 [DEBUG] sofia.c:4628 tls-ciphers [ECDHE-ECDSA-AES256-GCM-SHA384]


И вижу, что все нормально.
[+] 
Код:
tport.c:2770 tport_wakeup_pri() tport_wakeup_pri(0x7f9f1c05d660): events IN
tport.c:862 tport_alloc_secondary() tport_alloc_secondary(0x7f9f1c05d660): new secondary tport 0x7f9f1c1ca260
tport_type_tcp.c:203 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7f9f1c1ca260): Setting TCP_KEEPIDLE to 30
tport_type_tcp.c:209 tport_tcp_init_secondary() tport_tcp_init_secondary(0x7f9f1c1ca260): Setting TCP_KEEPINTVL to 30
tport_type_tls.c:613 tport_tls_accept() tport_tls_accept(0x7f9f1c1ca260): new connection from tls/10.20.40.6:53612/sips
tport_tls.c:960 tls_connect() tls_connect(0x7f9f1c1ca260): events NEGOTIATING
tport_tls.c:960 tls_connect() tls_connect(0x7f9f1c1ca260): events NEGOTIATING
tport_tls.c:603 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (name): ECDHE-ECDSA-AES256-GCM-SHA384
tport_tls.c:605 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (version): TLSv1.2
tport_tls.c:608 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (bits/alg_bits): 256/256
tport_tls.c:611 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): TLS cipher chosen (description): ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD

tport_tls.c:698 tls_post_connection_check() tls_post_connection_check(0x7f9f1c1ca260): Peer Certificate Subject 0: client
tport.c:2311 tport_set_secondary_timer() tport(0x7f9f1c1ca260): reset timer
tport.c:2795 tport_wakeup() tport_wakeup(0x7f9f1c1ca260): events IN
tport.c:2893 tport_recv_event() tport_recv_event(0x7f9f1c1ca260)
tport_type_tls.c:434 tport_tls_recv() tport_tls_recv(0x7f9f1c1ca260): tls_read() returned 628
tport.c:3234 tport_recv_iovec() tport_recv_iovec(0x7f9f1c1ca260) msg 0x7f9f1c1cfc00 from (tls/10.20.40.6:53612) has 628 bytes, veclen = 1
tport.c:3052 tport_deliver() tport_deliver(0x7f9f1c1ca260): msg 0x7f9f1c1cfc00 (628 bytes) from tls/10.20.40.6:53612/sips next=(nil)
tport.c:4189 tport_pend() tport_pend(0x7f9f1c1ca260): pending (nil) for tls/10.20.40.6:53612 (already 0)
tport.c:2311 tport_set_secondary_timer() tport(0x7f9f1c1ca260): reset timer
tport.c:3286 tport_tsend() tport_tsend(0x7f9f1c1ca260) tpn = TLS/10.20.40.6:53612
tport_type_tls.c:537 tport_tls_send() tport_tls_writevec: vec 0x7f9f1c203910 0x7f9f1c1f1c00 664 (664)
tport.c:3623 tport_vsend() tport_vsend(0x7f9f1c1ca260): 664 bytes of 664 to tls/10.20.40.6:53612
tport.c:3521 tport_send_msg() tport_vsend returned 664

Или при 0 CA просто не проверяется? И любой клиентский сертификат подходит?

И достаточно ли указать в tls-verify-policy subjects_all и это уже будет включать просто all, или нужно указывать, как я сделал от сомнения
tls-verify-policy [subjects_all|all]

Заранее благодарю.

Автор:  Vlad1983 [ 12 ноя 2020 11:38 ]
Заголовок сообщения:  Re: tls-verify-depth

наверное, проще глянуть в сорцах что на что влияет, чем сидеть и гадать

Автор:  vbog [ 13 ноя 2020 08:25 ]
Заголовок сообщения:  Re: tls-verify-depth

Vlad1983,

Спасибо!

Совершенно согласен.

Автор:  Vlad1983 [ 13 ноя 2020 09:07 ]
Заголовок сообщения:  Re: tls-verify-depth

и не забыть рассказать что нарылось для будущих поколений

Автор:  tma [ 17 май 2021 16:29 ]
Заголовок сообщения:  Re: tls-verify-depth

У нас tls-verify-depth=2, сертификаты самоподписанные и загружены в Android, в качестве клиента используется Bria.
Без загрузки сертификата в Android соединение не устанавливается.

Если использовать реальный сертификат, то загружать в телефон его будет не надо.
В нашем случае самоподписанный сертификат как дополнительная защита.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/