Чтобы добавлять сообщения и комментарии, .

@OCTAGRAM:
OCTAGRAM

Генерация многодоменных сертификатов без этих ваших конфигурационных файлов

@zinid:
zinid

openssl не перестаёт удивлять. В этот раз нафрагментировала памяти на 10Gb. Божественная библиотека.

@Dimez:
Dimez

Да ёперный театр :(
openssl.org

@lurker:
lurker

openssl.org

@Dant:
Dant

Extracting Certificate and Private Key Files from a .pfx File: pastebin.com

wiki.cac.washington.edu
openssl.org
slproweb.com

@zinid:
zinid

После нескольких дней кровавого дебага, выяснили, что openssl пожирает 10Gb памяти на 100 тыс. клиентских сессий. И это с отключенным кэшем и компрессией.
Получается 100kb на соединение, хотя openssl-бляди заявляют о 10kb.

Боль и пичаль.

@schors:
schors

ну кстати, ничего перекомпилировать во FreeBSD 10.x для OpenSSL не надо. алгоритмы ГОСТ в поставке. но не в конфиге да

@unfalse:
unfalse

Суть heartbleed для тех, кто в танке: xkcd.com

@otakuSiD:
otakuSiD

Собрал до кучки инфу по Heartbleed багу в OpenSSL.

heartbleed.com
troyhunt.com
techcrunch.com

Тут можно проверится:

filippo.io

@vbooh:
vbooh

А Яндекс молодцы в связи с широко обнародованной намедни уязвмостью "HeartBleed" — они повесили на главной странице объявление с рекомендациями для простых пользователей Интернетов:
habrahabr.ru

@segfault:
segfault

А я не понял, а че, где обновление в центосе то?

@mrtron:
mrtron

Единственный сервис из тех что я зареган (включая банки, платёжные системы, почты и регистраторы), который мне прислал письмо с рассказом что тут был баг опенссл, мы его пофиксили, но вы на всякий случай смените пароль — dynadot.com Вообще чем дольше я ими пользуюсь, тем больше уважения они вызывают. Всячески всем рекомендую. В пользу их говорит ещё, что они регистратор wikileaks.

@Ta2i4:
Ta2i4

Жуйк, а где-нибудь можно заказать вот такую футболку? Линк: twitter.com

@oxfn:
oxfn

В контексте всеобщей истерии и улюлюканья по поводу OpenSSL бородатые админы Debian Squeeze спокойно пьют чай и насмешливо чешут бороды, ибо у них еще OpenSSL аж 0.9.8

@Melhior:
Melhior

CVE-2014-0160

Всем быстренько проверять и обновлять версии openssl.
habrahabr.ru

@NokitaKaze:
NokitaKaze

Интересно, есть хотя бы одна вменяемая причина, из-за которой wget, curl etc не вызывают OPENSSL_config(null) перед инициализацией OpenSSL?

@schors:
schors

а что простите делает команда openssl pkey -in key1.pem -out key2.pem -noout ? почему содержимое key1.pem и key2.pem различно?

@datacompboy:
datacompboy

БЛИНЪъъъ! Ну почему в openssl так всё криво? Мне не надо чтоб оно парзить пыталось публичный ключ, но вытащить прямо его исходный вид в бинаре надо. Как?! Спасибо, никак. Пошел x509 курить

@schors:
schors

оставлю это здесь. проверка соответствия ключа сертификату. на выходе должно получиться то, что было в файлике (можно echo):
cat test.txt | openssl smime -encrypt -des3 mycert.pem | openssl smime -decrypt -inkey mykey.pem

@schors:
schors

единственный простой способ проверить соответствие ключа сертификату утилитой openssl — подписать что-то командой smime

@schors:
schors

так, как можно утилитой openssl проверить, что сертификат соответствует секретному ключу?

@schors:
schors

openssl произвёл странное впечатление. куча ненужного редкоиспользуемого дрена, никакой продумки, то так, то сяк, а простые типовые вещи только через задницу делаются

@schors:
schors

а openssl (утилита) не знает о кодах возвата? я что-то не понял про openssl verify — мне вывод парсить включая страшные отладочные строки?

@schors:
schors

а openssl (утилита) не умеет как-то распарсить цепочку сертификатов из файла? ну хотя бы список дать или как-то их вывести текстом всех? только хвостовой или первый выдаёт (не понял какой).

@schors:
schors

а x509 в сабжекте какие символы разрешены на поля? на вскидку?

@schors:
schors

а openssl (утилита) не умеет да выдрать AKID из сертификата? парсить вывод -text?

@AChernakov:
AChernakov

Документация у libopenssl паршивая — то ли они считают, что все и так умные и могут все, что надо, домыслить, то ли думают, что нормально структурировать информацию в манах — дурной тон.

@bitfield:
bitfield

Я думал, NIH-синдромом болеют только в Микрософт. Ан нет, у Йоппл та-же болезнь — openssl уже два года как deprecated в МакОС (с 10.7).
Взамен предлагают использовать новое криптоапи с блекдеком и шл^W^W^W блоками и пайплайнингом операций, Но мы-то знаем, что на самом деле "у openssl есть фатальный недостаток" TM.

@tzirechnoy:
tzirechnoy

opennet.ru
А-а-блака! Белокрылые лошадки!
А-а-блака! Что вы мчитесь без оглядки!

@Commaster:
Commaster

Теперь я еще больше ненавижу второтег. Вылетать на линковке сетевого модуля из-за того, что не видит трететэг, который указан всеми хвостами в конфиге и лежит РЯДОМ! Ну нафиг, останусь на wxWidgets.

@Strephil:
Strephil

Знакомлюсь с socat (как-то прошел мимо этой программы), что-то она мне пишет :
SSL_connect(): error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

@unregistered:
unregistered

Поломали в openssl-1.0.1d что-то, клиент "вываливает bad decompression openvpn".

@rion:
rion

ещё одна краткая инструкция как собирать x64 openssl под вин
берем первые 3 пункта из этого поста #952095
далее в msys bash вбиваем что-то вроде (частично пропустил то что и так понятно)

tar xf openssl-ver.tar.gz # does some symlinks magic, so solves md2 error
MAKE=mingw32-make PERL=perl.exe ./Configure mingw64 shared enable-static-engine --openssldir=/c/local
(mingw32-make.exe -j3 2>&1) > compile.log
(mingw32-make.exe install 2>&1) > compile.log

здесь /c/local это путь куда заинсталится openssl. редирект вывода в файл сделан ибо stdout/err под msys почему-то дико тормозит

@a13:
a13

Subject парсить — ручками, даты даже внутре хранятся в ASN1_STRING — в нормальном формате хрен получишь (либо тоже парсить вручную), нелатиницу ескейпит, в итоге, на каждый чих нужно делать свой лисапед.

@Michae1:
Michae1

Милое дело: с утра получил обновления OpenSSL, а после обеда вышла новость об обнаруженной уязвимости: uinc.ru

@kamenev:
kamenev

madboa.com

@kamenev:
kamenev

Проверить сертификат. Это важно.
openssl s_server -cert FILE_NAME -www -accept PORT

Заходим браузером и смотрим:
domain:PORT

@kamenev:
kamenev

Расшифровать зашифрованный тайный ключ
openssl rsa -in ssl.key -out rsa.key

@zet:
zet

После долгих мучений и плясок с бубном удалось таки прилинковать openssl v1.0 к Psi+ под виндовс ХР. Теперь Psi+ будет жить вместе с openssl v1.0, а openssl v0.9.8 пойдёт не заслуженный отдых :)

@a13:
a13

Такая фигня: собрал софтину под свежий альт (под старым и ещё под кучей дистров работало ок) — вылетает на BIO_free с руганью на двойной free. Сначала грешил на посвежевший до 1 версии openssl, но выяснилось, что у меня на сиде и у коллеги на генте на 1-ке пашет ок. Более того, если на debian stable с 0.9.8o падает, то на sid-е с тем же 0.9.8o всё зашибись.
В итоге, методом проб и ошибок выяснилось, что с точностью до выборки не работает на 2.11м libc, на 2.5/2.7/2.12/2.13 всё ок. Доктор, это трабла в libc или у меня кривые руки?