��JFIF�����������$
�������������������������������������� ��� ������
�����
�
�����������
���
����d�d�����������7������������������������ ��
Viewing File: /usr/lib/python3.9/site-packages/certbot/__pycache__/ocsp.cpython-39.opt-1.pyc
a
����}|�ge<�����������������������@���s����d�Z�d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z���d�d�l�m Z ��d�d�l
Z
d�d�l�m�Z���d�d l
m�Z���d�d
l
m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d
l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d�l�m Z ��e��!e"��Z#G�d�d���d���Z$e%e e�e%��e�e%��f���d���d�d���Z&e%e%e%e'e(d���d�d���Z)d�d�e�j*e%d�d���d�d ��Z+d�e�j*e%d�d!��d"d#��Z,e%e%e%e(d$��d%d&��Z-d�S�)'z*Tools for checking certificate revocation.�����)���datetime)�� timedeltaN)���PIPE)���Optional)���Tuple)���x509)���InvalidSignature)���UnsupportedAlgorithm)���default_backend)���hashes)��
serialization)���ocsp)���crypto_util)���errors)���util)���getenv)��
RenewableCertc��������������������@���s`���e�Z�d�Z�d�Z�d�e�d�d���d�d���Z�e�e�d���d�d ��Z�d�e�e�e e�d���d�d
��Z
e�e�e�e�e e�d���d�d���Z�d�S�)���RevocationCheckerzEThis class figures out OCSP checking on this system, and performs it.FN)���enforce_openssl_binary_usage��returnc��������������������C���sr���d�|�_�|�|�_�|�j�rnt���d���s0t���d�����d�|�_�d�S�t�j�g�d���t�t�d�d�t�� ��d���}�d�|�j
v�rdd�d ��|�_�n
d
d ��|�_�d�S�)�NF��opensslz-openssl not installed, can't check revocationT)�r����r
�����-header��var��val)���stdout��stderrZ�universal_newlines��check��envz Missing =c��������������������S���s
���d�|���g�S�)�Nz�Host=������hostr����r�����0/usr/lib/python3.9/site-packages/certbot/ocsp.py��<lambda>1��������z,RevocationChecker.__init__.<locals>.<lambda>c��������������������S���s����d�|�g�S�)�NZ�Hostr����r����r����r����r!���r"���3���r#���)���broken��use_openssl_binaryr����Z
exe_exists��logger��info�
subprocess��runr����Z�env_no_snap_for_external_callsr����� host_args)���selfr����Z�test_host_formatr����r����r!�����__init__"���s������������
�
�����
�������
���z�RevocationChecker.__init__����certr����c��������������������C���s����|���|�j�|�j���S�)�a ���Get revoked status for a particular cert version.
.. todo:: Make this a non-blocking call
:param `.interfaces.RenewableCert` cert: Certificate object
:returns: True if revoked; False if valid or the check failed or cert is expired.
:rtype: bool
)���ocsp_revoked_by_paths� cert_path�
chain_path)�r+���r.���r����r����r!�����ocsp_revoked5���s�����
z�RevocationChecker.ocsp_revoked�
���)�r0���r1�����timeoutr����c��������������������C���sf���|�j�r
d�S�t���t�j���}�t���|���|�k�r(d�S�t�|���\�}�}�|�r<|�s@d�S�|�j�rX|�� |�|�|�|�|���S�t
|�|�|�|���S�)�aE���Performs the OCSP revocation check
:param str cert_path: Certificate filepath
:param str chain_path: Certificate chain
:param int timeout: Timeout (in seconds) for the OCSP query
:returns: True if revoked; False if valid or the check failed or cert is expired.
:rtype: bool
F)�r$���r������now��pytz��UTCr����Z�notAfter��_determine_ocsp_serverr%�����_check_ocsp_openssl_bin��_check_ocsp_cryptography)�r+���r0���r1���r4���r5�����urlr ���r����r����r!���r/���A���s��������������������������z'RevocationChecker.ocsp_revoked_by_paths)�r0���r1���r ���r;���r4���r����c������������
�������C���s����t�d���}�t�d���}�d�}�|�d�u�s$|�d�u�r4|�d�u�r0|�n�|�}�|�d�u�rFd�|�g�} n&|���d���r`|�t�d���d�����}�d�|�d�|�g�} d�d�d d
|�d�|�d�|�d
|�d�d�t�|���d�g�|���|�����| ��}
t���d�|�����t���d���|
������z�t�j |
t�j�d���\�}�}�W�n"��t
j�y�������t���d�|�����Y�d�S�0�t
|�|�|���S�)�NZ
http_proxyZ
HTTP_PROXYz�-urlz�http://z�-hostz�-pathr����r
���z -no_noncez�-issuerz�-certz�-CAfilez
-verify_otherz�-trust_otherz�-timeoutr����z�Querying OCSP for %s�� )���log�*OCSP check failed for %s (are we offline?)F)�r�����
startswith��len��strr*���r&�����debug��joinr����Z
run_scriptr����Z�SubprocessErrorr'�����_translate_ocsp_query)
r+���r0���r1���r ���r;���r4���Z�env_http_proxyZ�env_HTTP_PROXYZ
proxy_hostZ�url_opts��cmd��output��errr����r����r!���r9���^���s@�����������������
�
�������������������������������� ��������������z)RevocationChecker._check_ocsp_openssl_bin)�F)�r3���)���__name__�
__module__��__qualname__��__doc__��boolr,���r����r2���rA�����intr/���r9���r����r����r����r!���r��������s������������������r����)�r0���r����c���������������� �������s����t�|�d����"}�t���|�����t�����}�W�d���������n�1�s20�������Y���z:|�j���t�j���}�t�j�j ����f�d�d���|�j
D���}�|�d���j�j
}�W�n&��t�j�t
f�y�������t���d�|�����Y�d�S�0�|�����}�|���d���d ����d
��}�|�r�|�|�f�S�t���d�|�|�����d�S�)�z�Extract the OCSP server host from a certificate.
:param str cert_path: Path to the cert we're checking OCSP for
:rtype tuple:
:returns: (OCSP server URL or None, OCSP server host or None)
��rbNc������������������������s����g�|�]�}�|�j���k�r�|���q�S�r����)�Z
access_method)���.0��description��Z�ocsp_oidr����r!����
<listcomp>����s������
�z*_determine_ocsp_server.<locals>.<listcomp>r����z�Cannot extract OCSP URI from %s)�NNz�://�������/z;Cannot process OCSP host from URL (%s) in certificate at %s)���openr������load_pem_x509_certificate��readr
����
extensions��get_extension_for_classZ�AuthorityInformationAccessZ�AuthorityInformationAccessOIDZ�OCSP��valueZ�access_location��ExtensionNotFound�
IndexErrorr&���r'�����rstrip� partition)�r0�����file_handlerr.���� extensionZ�descriptionsr;���r ���r����rQ���r!���r8�������s �������0���������������������������r8���)�r0���r1���r;���r4���r����c����������������
���C���s.���t�|�d����"}�t���|�����t�����}�W�d���������n�1�s20�������Y���t�|�d����"}�t���|�����t�����}�W�d���������n�1�sn0�������Y���t�����}�|���|�|�t�� ����}�|��
��}�|���t�j
j���} z�t�j�|�| d�d�i�|�d���}
W�n(��t�j�j�y�������t�j�d�|�d�d�����Y�d�S�0�|
j�d k���r�t���d
|�|
j�����d�S�t���|
j���}�|�j�t�j�j�k���r<t���d�|�|�j�����d�S�z�t�|�|�|�|�����W�n���t���y���}���z�t���t�|�������W�Y�d�}�~�n�d�}�~�0���t�j ��y���}���z�t���t�|�������W�Y�d�}�~�n|d�}�~�0���t!��y�������t���d�|�����Y�nV��t"��y
��}
��z�t���d
|�t�|
������W�Y�d�}
~
n(d�}
~
0�0�t��#d�|�|�j$����|�j$t�j%j&k�S�d�S�)�NrN���z�Content-Typez�application/ocsp-request)���dataZ�headersr4���r>���T)���exc_infoF�����z*OCSP check failed for %s (HTTP status: %d)z'Invalid OCSP response status for %s: %sz)Invalid signature on OCSP response for %sz!Invalid OCSP response for %s: %s.z%OCSP certificate status for %s is: %s)'rU���r����rV���rW���r
���r
���Z�OCSPRequestBuilderZ�add_certificater����Z�SHA1Z�buildZ�public_bytesr����Z�EncodingZ�DER��requestsZ�post�
exceptionsZ�RequestExceptionr&���r'���Z�status_codeZ�load_der_ocsp_responseZ�contentZ�response_statusZ�OCSPResponseStatusZ
SUCCESSFUL��warning��_check_ocsp_responser ���rA���r������Errorr������AssertionErrorrB���Z�certificate_statusZ�OCSPCertStatusZ�REVOKED)�r0���r1���r;���r4���r_�����issuerr.���Z�builderZ�requestZ�request_binaryZ�response�
response_ocsp��e��errorr����r����r!���r:�������sP�������0���0�����������������
�������������������������������"���"�������(���������r:���z�ocsp.OCSPResponsez�ocsp.OCSPRequest)�rk�����request_ocsp��issuer_certr0���r����c��������������������C���s����|�j�|�j�k�r�t�d�����t�|�|�|�����t�|�j�t�|�j�����rJ|�j�|�j�k�sJ|�j�|�j�k�rRt�d�����t�� t
j���j�d�d���}�t
�����j��t
j�d�d�d�����|�j�s�t�d�����|�j�|�t�d d
����k�r�t�d�����|�j�r�|�j�|�t�d d
����k�r�t�d�����W�d���������n�1�s�0�������Y���d�S�)
z2Verify that the OCSP is valid for several criteriazMthe certificate in response does not correspond to the certificate in requestz<the issuer does not correspond to issuer of the certificate.N)�Z�tzinfo��ignorez'Properties that return.*datetime object)���messagez�param thisUpdate is not set.�����)�Z�minutesz"param thisUpdate is in the future.z param nextUpdate is in the past.)�Z
serial_numberri�����_check_ocsp_response_signature�
isinstanceZ�hash_algorithm��typeZ�issuer_key_hashZ�issuer_name_hashr����r5���r6���r7�����replace��warnings��catch_warnings��filterwarningsZ�this_updater����Z�next_update)�rk���rn���ro���r0���r5���r����r����r!���rg�������s$�������������
���
�������
�������������rg���)�rk���ro���r0���r����c������������ ��� �������s"���t�j�t�d���d�d�������j�|�j�k�s,��j���|���k�r>t���d�|�����|�}�n�t���d�|���������f�d�d�����j�D���}�|�slt d�����|�d ��}�|�j
|�j�k�r�t d
����z"|�j���t�j
��}�t�j�j�j�|�j�v�}�W�n���t�j�t�f�y�������d�}�Y�n�0�|�s�t d�����|�j�}�t���|�����|�j�|�j�|�������j�}�|���s�t d
����t���|�������j���j�|�����d�S�)�zIVerify an OCSP response signature against certificate issuer or responderr-���c��������������������S���s����t�j���|�������j�S�)�N)�r����Z�SubjectKeyIdentifierZ�from_public_key�
public_keyZ�digest)�r.���r����r����r!���� _key_hash����s������z1_check_ocsp_response_signature.<locals>._key_hashzGOCSP response for certificate %s is signed by the certificate's issuer.zGOCSP response for certificate %s is delegated to an external responder.c������������������������s*���g�|�]"}���j�|�j�k�s"��j���|���k�r�|���q�S�r����)���responder_name��subject��responder_key_hash)�rO���r.�����r{���rk���r����r!���rR���
���s����������z2_check_ocsp_response_signature.<locals>.<listcomp>z0no matching responder certificate could be foundr����z?responder certificate is not signed by the certificate's issuerFz<responder is not authorized by issuer to sign OCSP responsesz#no signature hash algorithm definedN)�r������Certificate��bytesr|���r}���r~���r&���rB���Z�certificatesri���rj���rX���rY���Z�ExtendedKeyUsageZ�oidZ�ExtendedKeyUsageOIDZ�OCSP_SIGNINGrZ���r[���r\���Z�signature_hash_algorithmr����Z�verify_signed_payloadrz���Z signatureZ�tbs_certificate_bytesZ�tbs_response_bytes) rk���ro���r0���Z�responder_certZ�responder_certsr`���Z�delegate_authorizedZ�chosen_cert_hashZ�chosen_response_hashr����r���r!���rs�������sD�����������������������������������������������
�����������������������rs���)�r0�����ocsp_output��ocsp_errorsr����c������������ �����������s����d�}���f�d�d���|�D���}���f�d�d���|�D���\�}�}�}�|�r<|���d���n�d�}�d�|�v�sT|�rP|�sT|�rrt���d ������t���d
��|�����d�S�|�r~|�s~d�S�|�r�|���d���}�|�r�t���d�|�����d
S�t���d���|�����d�S�d�S�)�z7Parse openssl's weird output to work out what it means.)���good��revoked��unknownc������������������������s����g�|�]�}�d�����|�����q�S�)�z�{0}: (WARNING.*)?{1})���format)�rO�����s)�r0���r����r!���rR���:���r#���z)_translate_ocsp_query.<locals>.<listcomp>c��������������������3���s ���|�]�}�t�j�|���t�j�d���V���q�d�S�)�)���flagsN)���re��search��DOTALL)�rO�����p)�r����r����r!���� <genexpr>;���r#���z(_translate_ocsp_query.<locals>.<genexpr>�����Nz�Response verify OKz#Revocation status for %s is unknownz�Uncertain output:
%s
stderr:
%sFz�OCSP revocation warning: %sTz2Unable to properly parse OCSP output: %s
stderr:%s)���groupr&���r'���rB���rf���) r0���r����r����Z�states��patternsr����r����r����rf���r����)�r0���r����r!���rD���6���s&���������������������������
�������������rD���).rK���r����r����Z�loggingr����r(���r������typingr����r����rw���Z�cryptographyr����Z�cryptography.exceptionsr����r ���Z�cryptography.hazmat.backendsr
���Z�cryptography.hazmat.primitivesr����r����Z�cryptography.x509r
���r6���rd���Z�certbotr����r����r����Z�certbot.compat.osr����Z�certbot.interfacesr����Z getLoggerrH���r&���r����rA���r8���rM���rL���r:���r����rg���rs���rD���r����r����r����r!�����<module>����sD���������������������������������������������������
��e ��1�����)�����:Back to Directory
�������������������������������������nL+D�550�H�?Mx� ,D"v]qv;6*Zqn�)�ZP��0������������������������������!1 ��A� "#a$2Qr��������D8�a�Ri�[f�\mIykIw0�cu�FcRı?lO7к_f˓[C$殷WF<_W ԣs�KcëIzyQy���/_LK�ℂ;C�",pFA:�/]=H�� �~,ls/9�ć:[=/#f;�)x�{�ٛ�EQ )~� ���=𘙲r*2~ ��a��_V='��kumF��D}KYYC)({�*g&f�`툪r�y�`=^cJ.I]�(*`�wq���1�dđ#̩�͑0�;H]u搂@:~וKL� Ns��h�}OIR*8:2��!lDJVo(��3=M(z�Ȱ+i*NA�r6K�n�Sl�)!JJӁ* %�݉�?|D}d5:eP0R;{$X'xF@.ÊB {,W�J�uQ�ɲRI;9�QE�琯62fT.D�UJ���;*c��P��A\ILNj!J۱+�O\�͔]ޒ�SJȧc%AN��ol�ՎprULZԛe�r�E2=XDXg�VQe�ӓk��y�P�7U*omQIs,K`)6\�G3t?pgj�r�mۛجwluG��tf��h9uyP0D;Uڽ"OXlif$)&|ML0Zrm1[HXPlPR0���'G=i2N�+0e2�]]�9VT�P��O7h(F*�癈�'�=Q��V�ZDF,d߬~�TX
G[�`l�e69CR(!S2!P�
<0x�<������������������������!1��AQ "Raq�02Br���#S�CTb�����
?�Ζ"]mH�5WR7k.ۛ!}Q~+yԏz|@T20S~Kek�*zFf^2X*(@8�r?��CIuI|�֓>^ExLgN�UY+{.RѪ
τVYTD�I62'8Y2�7'\T�P�.6�d&˦@�Vqi�|8-�OΕ�]ʔ� U=��TL8=;6c�|���!qfF3a�ů�&~$l}'NWUs$Uk^SV��:U#�6w+�+s&r+nڐ��{@�29�g�L�
u"TÙ�M=6�(^"7r}�=6YݾlCuhquympǦ
�G�jhsǜNl�ɻ}o7�#S6aw�4!OS�rD�57�%|?x>L
|�/�nD6?/8w#[�)L7��+6〼T�ATg�!��%5�MmZ/c-{�1_Je"|�^$'O���&�ޱմ�Trb�$�w)R�$�&�
N1EtdU�3Uȉ1p�M"�N*(DN�y�d96.(jQ)X
5cQɎMyW�?��Q�*!R>6=7)Xj5`J]�e�8%t!+'!1Q�5���������� �������������!1��� AQ�aqё#2�"0BRb������?�G�t^�## .llQT $�v,,m��㵜5�ubV �=sY+@d�{N!�dnO<���.-B;�_wJt6�;Q�Jd.Qc%p{ 1,sND�dFH�I0Гo�Xш�e黅XۢF:)[�FGXƹ/w�_cMeD���,ʡcc.���WD�tA$�j@�:) -#�u
c1<@ۗ9F�)KJ-hpP]�_��x[qBlbp�ʖw� q"�L�FGd�ƶ*���s+�ډ_Zc"?�%�t[IP���6J]#=ɺVvv�CGsGh1� >)6�|ey?Lӣm,4GWUi`�]uJVoV�D�G�< SB�6ϏQ@ TiUly�OU0kfV~�~}�SZ@*WUU�i##;�s/[�=!�7}"��WN]'(L!��~y�5g9T̅JkbM'�+s:S� ��+�B)v@M��j
���e Cf�jE�0��Y\QnzG�1д~Wo{T�9?`�Rmyh�sy�3!HA�D]m�c1~2L���Su7xT;j$`}4->L#�vzŏ��ILS���֭��T��{�r��jGKC;��b�pU=�-`BsK.SFw4�Mq]ZdH�S0)tLg