Cách bỏ qua xác minh chứng chỉ SSL trong open-uri?

Question

Tôi cố gắng truy cập tệp có uri mở qua kết nối https. Rất tiếc, có một số lỗi xảy ra với chứng chỉ, tôi nhận được chứng chỉ xác minh lỗi không thành công. Tôi không thể làm bất cứ điều gì về điều đó, vì vậy tôi phải bỏ qua việc xác minh.

Tôi thấy điều này answer

Tôi không muốn/không thể thay đổi Oen-uri.rb trên máy chủ, và tôi đang chạy Ruby 1.8.6.

Làm cách nào để thay đổi chế độ xác minh? Hay chính xác hơn tôi phải thay đổi nó ở đâu?

Tôi có thể đặt cái này ở đâu?

if target.class == URI::HTTPS 
require 'net/https' 
http.use_ssl = true 
http.verify_mode = OpenSSL::SSL::VERIFY_NONE 
store = OpenSSL::X509::Store.new 
store.set_default_paths 
http.cert_store = store 
end 

hoặc lỗi bẩn: tôi có thể đặt cái này ở đâu?

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE 

Answer 1

Nếu bạn thực sự không muốn an ninh bổ sung của việc sử dụng xác minh chứng chỉ, và có thể nâng cấp với Ruby 1.9.3p327 +, bạn có thể vượt qua các tùy chọn ssl_verify_mode với phương pháp open. Ở đây ví dụ là cách tôi đang làm nó:

request_uri=URI.parse('myuri?that_has=params&encoded=in_it&optionally=1') 

# The params incidentally are available as a String, via request_uri.query 
output = open(request_uri, {ssl_verify_mode: OpenSSL::SSL::VERIFY_NONE}) 
obj = JSON.parse output.readlines.join("") 

Answer 2

Tìm thấy chính bản thân mình bây giờ: Tôi đã sử dụng phần mềm bẩn, hoạt động tốt cho tôi.

tôi đã phải đặt nó vào: yourrailsapp/initalizers/

Ở đó tôi đã tạo ra một bypass_ssl_verification_for_open_uri.rb

Và đặt:

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE 

Answer 3

Có vẻ như một ứng cử viên tốt để đưa vào environment.rb, hoặc nếu điều này hack chỉ cần thiết trong các môi trường cụ thể, sau đó trong các tệp cấu hình riêng lẻ của chúng.

Answer 4

rất tốt (có thể đẻ trứng uninitialized constant OpenSSL (NameError)) để đưa require 'openssl' trước dòng đó, vì vậy

app/config/initializers/bypass_ssl_verification_for_open_uri.rb (filename của initializer doesn' vấn đề)

require 'openssl'
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

Answer 5

Một cách yếu nhưng kiểm soát là

class XMLRPC::Client 
# WEAK: Enrich the Client with a method for disabling SSL VERIFICATION 
# See /usr/lib/ruby/1.9.1/xmlrpc/client.rb:324 
# Bad hack but it works 
def disableSSLVerification 
    @http.verify_mode = OpenSSL::SSL::VERIFY_NONE 
    warn "Proxyman SSL Verification disabled" 
end 
end 

Sau đó, bạn chỉ cần gọi

client.disableSSLVerification() 

Answer 6

Như bạn nói cho mình, đây là một bẩn Hack. Rõ ràng, việc tắt xác minh chứng chỉ SSL không phải là một ý tưởng hay.

Có một số rất hữu ích article bởi Mislav Marohnić, điều này rất chi tiết tại sao điều này là xấu và cách giải quyết vấn đề này đúng cách.

Nói tóm lại, bạn chủ yếu có được SSL xác minh lỗi nếu:

1. giấy chứng nhận là hợp lệ, nhưng hệ thống của bạn không có chứng chỉ gốc cần thiết để xác minh.
2. chứng chỉ là tự ký, ví dụ: trong công ty của bạn và bạn cần phải tin tưởng nó
3. bạn phải tuân thủ một man-in-the-middle tấn công

Đối với tôi, trường hợp đầu tiên áp dụng, và chỉ cần cập nhật các gói ca-certificates hệ thống Ubuntu của tôi đã thực hiện thủ thuật.

Một công cụ tuyệt vời để theo dõi lỗi SSL của bạn là ssl doctor script.

Answer 7

Đó là cuộc gọi của bạn, nhưng việc đặt VERIFY_PEER thành NONE về cơ bản là tương đương để tắt TLS hoàn toàn và kết nối qua HTTP thuần văn bản. Nó làm cho người đàn ông trong cuộc tấn công tầm thường, và sẽ không vượt qua một cuộc kiểm toán PCI.