Сертификату для аутентификации нельзя доверять
Этот дефект происходит, когда вы используете контекст, чтобы обработать связи TLS/SSL с этими функциями, но вы не загружаете список сертифицирующих органов (CA) в контекст.
SSL_connect
SSL_accept
SSL_do_handshake
SSL_write
SSL_read
BIO_do_connect
BIO_do_accept
BIO_do_handshake
CA является сущностью доверенной третьей стороны, которая выпускает цифровые сертификаты к другим сущностям. Сертификат содержит информацию о своем владельце. Сервер или клиенты используют эту информацию, чтобы аутентифицировать связи с владельцем сертификата.
Средство проверки повышает дефект если:
Для аутентификации сервера у клиента нет списка CA, чтобы определить, является ли сертификат сервера от надежного источника.
Для аутентификации клиента сервер не имеет никакого списка CA, чтобы определить, является ли клиентский сертификат от надежного источника.
Без списка CA вы не можете определить, выпущен ли сертификат доверяемым Приблизительно. Сущность, которая представляет сертификат для аутентификации, не может быть сущностью, описанной в сертификате. Ваша связь уязвима для нападений человека в середине (MITM).
Загрузите список сертифицирующих органов в контекст, который вы создаете, чтобы обработать связи TLS/SSL.
Группа: криптография |
Язык: C | C++ |
Значение по умолчанию: Off |
Синтаксис командной строки:
CRYPTO_SSL_NO_CA |
Удар: Средняя |
ID CWE: 310 |