File: //usr/lib/python3.9/site-packages/redis/__pycache__/ocsp.cpython-39.pyc
a
������b�,�����������������������@���s����d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�m Z m
Z
��d�d�l�m�Z���d�d�l
m�Z���d�d�l�m�Z���d�d�l�m�Z�m�Z���d�d�l�m�Z���d�d l�m�Z���d�d
l�m�Z�m�Z���d�d�l�m�Z�m�Z���d�d�l�m�Z���d�d
l�m Z m!Z!��d�d���Z"d�d�d���Z#d�d���Z$d�d���Z%d�d�d���Z&G�d�d���d���Z'd�S�)������N)���urljoin��urlparse)���hazmat��x509)���InvalidSignature)���backends)���DSAPublicKey)���ECDSA��EllipticCurvePublicKey)���PKCS1v15)���RSAPublicKey)���SHA1��Hash)���Encoding��PublicFormat)���ocsp)���AuthorizationError��ConnectionErrorc��������������������C���s����|�����}�z|t�|�t���r.|���|�j�|�j�t���|�j�����nTt�|�t���rN|���|�j�|�j�|�j�����n4t�|�t ��rr|���|�j�|�j�t
|�j�������n�|���|�j�|�j�����W�n���t�y�������t�d�����Y�n�0�d�S�)�Nz�failed to valid ocsp response)
�
public_key�
isinstancer����Z�verifyZ signatureZ�tbs_response_bytesr����Z�signature_hash_algorithmr����r
���r ���r����r����)���issuer_cert�
ocsp_response��pubkey��r�����./usr/lib/python3.9/site-packages/redis/ocsp.py��_verify_response����s0���������
�������������
�����������
���������������r����Tc��������������������C���sZ���t���|���}�|�j�t�j�j�k�r t�d�����|�j�t�j�j�k�r^|�j�t�j�j k�rft
d�t�|�j�����d���d�����d�������n�t
d�����|�j
t�j�����k�r~t
d�����|�j�r�|�j�t�j�����k�r�t
d�����|�j�}�|�j�}�|�j�}�|�}�|�d u�r�|�|�j�k�s�|�|�k�r�|�}�nt|�j�}�t�|�|�|�|���} z�| d
��}
W�n���t���y�������t
d�����Y�n�0�|
j���t�j���}�|�d u���s:t�j�j�j�|�j�v���rBt
d�����|
}�|���rVt |�|�����d
S�)�z=A wrapper the return the validity of a known ocsp certificatez4you are not authorized to view this ocsp certificatez�Received an ��.�����z� ocsp certificate statusz?failed to retrieve a sucessful response from the ocsp responderz)ocsp certificate was issued in the futurez1ocsp certificate has invalid update - in the pastNr����z'no certificates found for the responderz'delegate not autorized for ocsp signingT)!r����Z�load_der_ocsp_responseZ�response_statusZ�OCSPResponseStatusZ�UNAUTHORIZEDr����Z
SUCCESSFULZ�certificate_statusZ�OCSPCertStatusZ�GOODr������str��splitZ�this_update��datetimeZ�nowZ�next_update��responder_nameZ�issuer_key_hashZ�responder_key_hash��subject��certificates��_get_certificates�
IndexError�
extensionsZ�get_extension_for_classr����Z�ExtendedKeyUsage��oidZ�ExtendedKeyUsageOIDZ�OCSP_SIGNING��valuer����)�r�����
ocsp_bytesZ�validater����r!���Z�issuer_hash��responder_hashZ�cert_to_validate��certsZ�responder_certsZ�responder_cert��extr����r����r������_check_certificate2���sX�����
�����������������������������������������������������������������������������������
�r-���c������������������������s6�����d�u�r�����f�d�d���|�D���}�n�����f�d�d���|�D���}�|�S�)�Nc������������������������s(���g�|�] }�t�|�����k�r�|�j���j�k�r�|���q�S�r����)���_get_pubkey_hash��issuerr"�������.0��c)�r����r*���r����r�����
<listcomp>o���s����������z%_get_certificates.<locals>.<listcomp>c������������������������s&���g�|�]�}�|�j���k�r�|�j���j�k�r�|���q�S�r����)�r"���r/���r0���)�r����r!���r����r����r3���u���s����������r����)�r+���r����r!���r*���r#���r����)�r����r*���r!���r����r$���m���s��������������������r$���c��������������������C���st���|�����}�t�|�t���r$|���t�j�t�j���}�n,t�|�t���r@|���t�j t�j
��}�n�|���t�j�t�j���}�t�t
��t�����d���}�|���|�����|�����S�)�N)�Z�backend)�r����r����r������public_bytesr������DERr����Z�PKCS1r
���Z�X962Z�UncompressedPointZ�SubjectPublicKeyInfor����r
���r������default_backend��update��finalize)�Z�certificater������hZ�sha1r����r����r����r.���~���s��������
���
�������
�r.���c��������������������C���s����|�d�v�r�t�d�����d�}�|���������}�|�����D�] }�|�����}�|�j�|�j�k�r(|�}���qJq(|�d�u�rZt�d�����|�d�u�r|t���|���}�|�|�k�r|t�d�����t�|�|���S�)�z�An implemention of a function for set_ocsp_client_callback in PyOpenSSL.
This function validates that the provide ocsp_bytes response is valid,
and matches the expected, stapled responses.
)������Nz�no ocsp response presentNz2no matching issuer cert found in certificate chainz/received and expected certificates do not match) r����Z�get_peer_certificateZ�to_cryptographyZ�get_peer_cert_chainr"���r/���r������load_pem_x509_certificater-���)�Z�conr)���Z�expectedr����Z peer_certr2�����cert��er����r����r������ocsp_staple_verifier����s �����������������������������
�����r>���c��������������������@���sR���e�Z�d�Z�d�Z�d�d�d���Z�d�d���Z�d�d���Z�d d
��Z�d�d���Z�d
d���Z d�d���Z
d�d���Z�d�S�)���OCSPVerifiera����A class to verify ssl sockets for RFC6960/RFC6961. This can be used
when using direct validation of OCSP responses and certificate revocations.
@see https://datatracker.ietf.org/doc/html/rfc6960
@see https://datatracker.ietf.org/doc/html/rfc6961
Nc��������������������C���s����|�|�_�|�|�_�|�|�_�|�|�_�d�S�)�N)���SOCK��HOST��PORT��CA_CERTS)���selfZ�sock��host��port��ca_certsr����r����r������__init__����s������������z�OCSPVerifier.__init__c��������������������C���s"���t���|���}�t���|�����t�������}�|�S�)�z?Convert SSL certificates in a binary (DER) format to ASCII PEM.)���sslZ�DER_cert_to_PEM_certr����r;�����encoder����r6���)�rD�����der��pemr<���r����r����r�����
_bin2ascii����s������
���z�OCSPVerifier._bin2asciic��������������������C���s0���|�j���d���}�|�d�u�r�t�d�����|���|���}�|���|���S�)�z�This function returns the certificate, primary issuer, and primary ocsp server
in the chain for a socket already wrapped with ssl.
TFz!no certificate found for ssl peer)�r@���Z�getpeercertr����rM�����_certificate_components)�rD���rK���r<���r����r����r������components_from_socket����s
�����������
�z#OCSPVerifier.components_from_socketc��������������������C���s����z�|�j���t�j�j�j���j�}�W�n ��t�j�j�j�y8������t d�����Y�n�0�d�d���|�D���}�z�|�d���j
j�}�W�n���t�yn������d�}�Y�n�0�d�d���|�D���}�z�|�d���j
j�}�W�n���t�y�������t d�����Y�n�0�|�|�|�f�S�)�z�Given an SSL certificate, retract the useful components for
validating the certificate status with an OCSP server.
Args:
cert ([bytes]): A PEM encoded ssl certificate
z-No AIA information present in ssl certificatec��������������������S���s ���g�|�]�}�|�j�t�j�j�j�k�r�|���q�S�r����)��
access_methodr����r'�����AuthorityInformationAccessOIDZ
CA_ISSUERS��r1�����ir����r����r����r3�������s����������z8OCSPVerifier._certificate_components.<locals>.<listcomp>r����Nc��������������������S���s ���g�|�]�}�|�j�t�j�j�j�k�r�|���q�S�r����)�rP���r����r'���rQ���Z�OCSPrR���r����r����r����r3�������s����������z�no ocsp servers in certificate)�r&���Z�get_extension_for_oidr����r'���Z�ExtensionOIDZ�AUTHORITY_INFORMATION_ACCESSr(�����cryptographyZ�ExtensionNotFoundr����Z�access_locationr%���)�rD���r<���Z�aiaZ�issuersr/���Z�ocspsr����r����r����r����rN�������s*�����������
�����������������
���������������z$OCSPVerifier._certificate_componentsc��������������������C���s6���t�j�|�j�|�j�f�|�j�d���}�t���|�����t�� ����}�|��
|���S�)�z�Return the certificate, primary issuer, and primary ocsp server
from the host defined by the socket. This is useful in cases where
different certificates are occasionally presented.
)�rG���)�rI���Z�get_server_certificaterA���rB���rC���r����r;���rJ���r����r6���rN���)�rD���rL���r<���r����r����r�����!components_from_direct_connection����s����������z.OCSPVerifier.components_from_direct_connectionc��������������������C���sT���t�����}�|���|�|�t�j�j�j�������}�|�����}�t �
|���t�j�j�j
j�����}�t�|�|���d�����}�|�S�)�z#Return the complete url to the ocsp��ascii)�r����Z�OCSPRequestBuilderZ�add_certificaterT���r����Z
primitivesZ�hashesZ�SHA256Z�build��base64Z b64encoder4���Z
serializationr����r5���r������decode)�rD�����serverr<���r����Z�orbZ�request��path��urlr����r����r������build_certificate_url����s������������������������z"OCSPVerifier.build_certificate_urlc������������ �������C���sp���t���|���}�|�j�s�t�d�����|�j�}�|���|���}�|���|�|�|���}�t�|���j�d�d���}�t�j�|�|�d���}�|�j�sbt�d�����t |�|�j�d���S�)�z5Checks the validitity of an ocsp server for an issuerz"failed to fetch issuer certificatez�application/ocsp-request)�Z�Hostz�Content-Type)�Z�headersz failed to fetch ocsp certificateT)
��requests��get��okr����Z�contentrM���r\���r������netlocr-���) rD���rY���r<����
issuer_url��rrK���r����Z�ocsp_url��headerr����r����r������check_certificate
���s������
�������
���������������z�OCSPVerifier.check_certificatec��������������������C���sr���z.|�����\�}�}�}�|�d�u�r t�d�����|���|�|�|���W�S���t�yl������|�����\�}�}�}�|�d�u�rZt�d�����|���|�|�|�����Y�S�0�d�S�)�aD���Returns the validity of the certificate wrapping our socket.
This first retrieves for validate the certificate, issuer_url,
and ocsp_server for certificate validate. Then retrieves the
issuer certificate from the issuer_url, and finally checks
the valididy of OCSP revocation status.
Nz%no issuers found in certificate chain)�rO���r����rd���r����rU���)�rD���r<���ra���Z�ocsp_serverr����r����r������is_valid"���s����� ������������������z�OCSPVerifier.is_valid)�N)���__name__�
__module__��__qualname__��__doc__rH���rM���rO���rN���rU���r\���rd���re���r����r����r����r����r?�������s��������
������(�
����r?���)�T)�N)(rW���r ���rI�����urllib.parser����r����Z%cryptography.hazmat.primitives.hashesrT���r]���r����r����Z�cryptography.exceptionsr����Z�cryptography.hazmatr����Z-cryptography.hazmat.primitives.asymmetric.dsar����Z,cryptography.hazmat.primitives.asymmetric.ecr ���r
���Z1cryptography.hazmat.primitives.asymmetric.paddingr����Z-cryptography.hazmat.primitives.asymmetric.rsar����r
���r����Z,cryptography.hazmat.primitives.serializationr����r����Z�cryptography.x509r����Z�redis.exceptionsr����r����r����r-���r$���r.���r>���r?���r����r����r����r������<module>����s,���������������������������������������
;����
�