a
����}|g}H����������������������@���sN���d�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�Z�d�d�l�m Z ��d�d�l
m�Z���d�d�l
m�Z���d�d l
m�Z���d�d
l�m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d
l�m�Z���d�d�l�m�Z���d�Z�G�d�d��d�e�j��Z�G�d�d��d�e�j��Z e�j!d"d�d���Z"d�d��Z#d�Z$d�Z%d�Z&d�Z'd�Z(d�Z)d�Z*e+d k��rJe�,e�-e�j.d!d����e/g�������d�S�)#z�Tests for ocsp.py����N)��datetime)� timedelta)��mock)��x509)��InvalidSignature)��UnsupportedAlgorithm)��default_backend)��hashes)��CryptographyDeprecationWarning��ocsp)��errors)��utilz;Missing = in header key=value
ocsp: Use -help for summary.
c��������������������@���s���e�Z�d�Z�d�Z�d�d��Z�e��d��e��d��e��d��d�d�����Z�e��d �e��d
�e��d��d�d
����Z�d�d��Z e��d��e��d��d�d����Z
d�S�)��OCSPTestOpenSSLz5
OCSP revocation tests using OpenSSL binary.
c���������������� ���C���s~���d�d�l�m�}���t��d��T}�t��d��*}�t�|�_�d�|�_�|�j�d�d��|�_�W�d��������n�1�sR0�������Y���W�d��������n�1�sp0�������Y���d�S�)�Nr����r�����certbot.ocsp.subprocess.run�certbot.util.exe_existsT�Z�enforce_openssl_binary_usage) �certbotr����r�����patch�out�stderr�return_value�RevocationChecker�checker)��selfr�����mock_run�mock_exists�r����E/usr/lib/python3.9/site-packages/certbot/_internal/tests/ocsp_test.py�setUp"���s����������������z�OCSPTestOpenSSL.setUpz�certbot.ocsp.logger.infor����r����c��������������������C���s`���t�|�j�_�d�|�_�d�d�l�m�}���|�j�d�d��}�t��d��d���|�j�_�|�j�d�d��}�d�|�_�d�|�_�|�j�d�d��}�d�S�)�NTr����r����r�����
����F)�r����r����r����r����r����r���� partition
call_count)�r����r����r�����mock_logr����r����r����r����r���� test_init*���s������������������������z�OCSPTestOpenSSL.test_init#certbot.ocsp._determine_ocsp_server!certbot.ocsp.crypto_util.notAfterz�certbot.util.run_scriptc��������������������C���s���t��t�j��}�t���}�d�|�_�d�|�_�|�t�d�d����|�_ d�|�j
_�d�|�_ d�|�j
_�t�t
d�d�����|�_ d |�_ t��d
�|�_�|�|�_ d�|�_ |�j�}�d�S�)�N�x�yr!����Z�hoursT)��r+���F����)�z�http://x.coz�x.coz#Unable to load certificate launcher)�r�����now�pytz�UTCr���� MagicMock cert_path
chain_pathr����r����r�����broken�tuple
openssl_happyr
���Z�SubprocessError�side_effectr#���)�r����r����Z�mock_na�mock_determiner-����cert_objZ�count_beforer����r����r�����test_ocsp_revokedB���s����������������������������������z!OCSPTestOpenSSL.test_ocsp_revokedc��������������������C���s$���t��d��}�d�d�l�m�}���|��|��}�d�S�)�N�ocsp_certificate.pemr����r����)� test_util�vector_pathr����r����Z�_determine_ocsp_server)�r����r1���r�����resultr����r����r�����test_determine_ocsp_serverb���s������
���
�z*OCSPTestOpenSSL.test_determine_ocsp_serverz�certbot.ocsp.loggerc��������������������C���s&���t�|�_�d�d�l�m�}���d�|�j�_�d�|�j�_�d�S�)�Nr����r����)��openssl_confusedr����r����r�����debugr#����info)�r����r����r$���r����r����r����r�����test_translate_ocspi���s
�������������z#OCSPTestOpenSSL.test_translate_ocspN)��__name__
__module__�__qualname__�__doc__r����r����r����r%���r9���r>���rB���r����r����r����r����r��������s��������������������������������r����c��������������������@���s\���e�Z�d�Z�d�Z�d�d��Z�e��d��e��d��d�d����Z�d�d �Z�d
d��Z d�d
�Z
d�d��Z�d�d��Z�d�S�)��OSCPTestCryptographyz;
OCSP revokation tests using Cryptography >= 2.4.0
c��������������������C���s���d�d�l�m�}���|���|�_�t��d��|�_�t��d��|�_�t� �|�_
|�j�|�j
_�|�j�|�j
_�t��t
j��}�t�j�d�|�t�d�d����d��|�_�|�j�����|��|�j�j����d�S�) Nr����r����r:����ocsp_issuer_certificate.pemr'���r!���r*���)�r����)�r����r����r����r����r;���r<���r1���r2���r����r0���r8���r����r-���r.���r/���r����r����Z
mock_notAfter�startZ
addCleanup�stop)�r����r����r-���r����r����r����r�������s��������
�����
�
�
��������
�z�OSCPTestCryptography.setUpr&���z%certbot.ocsp._check_ocsp_cryptographyc��������������������C���s,���d�|�_�|�j��|�j����|��|�j�|�j�d�d����d�S�)�N)��http://example.com�example.comrK���
���)�r����r�����ocsp_revokedr8���Z�assert_called_once_withr1���r2���)�r����
mock_checkr7���r����r����r���� test_ensure_cryptography_toggled���s����������z5OSCPTestCryptography.test_ensure_cryptography_toggledc��������������������C���sD���t�t�j�j�t�j�j�����|�j��|�j��}�W�d��������n�1�s60�������Y���d�S�)�N)
_ocsp_mock�ocsp_lib�OCSPCertStatus�REVOKED�OCSPResponseStatus
SUCCESSFULr����rN���r8���)�r�����revokedr����r����r�����test_revoke���s��������,�z OSCPTestCryptography.test_revokec��������������������C���s���t��t��d��t���}�t�t�j�j�t�j j
�p}�|�j�|�d���j�_
d�|�d���j�_�|�j��|�j����t�j��|����j�}�d�|�d���j�_
|�|�d���j�_�|�j��|�j����W�d��������n�1�s0�������Y���d�S�)�NrH���
mock_response�r�����load_pem_x509_certificater;����load_vectorr����rQ���rR���rS���rT���rU���rV����subjectr�����responder_nameZ�responder_key_hashr����rN���r8���Z�SubjectKeyIdentifierZ�from_public_keyZ
public_keyZ�digest)�r�����issuer�mocks�key_hashr����r����r�����test_responder_is_issuer���s������������������������������,�z-OSCPTestCryptography.test_responder_is_issuerc��������������������C���s���t��t��d��t���}�t��t��d��t���}�t�t�j�j�t�j j
�p}�|�j�|�d���j�_
d�|�d���j�_�|�j��|�j����t�j��|����j�}�d�|�d���j�_
|�|�d���j�_�|�j��|�j����W�d��������n�1�s0�������Y���d�S�)�NrH����ocsp_responder_certificate.pemrY���rZ���)�r����r_��� responderr`���ra���r����r����r����%test_responder_is_authorized_delegate���s$����������������������������������,�z:OSCPTestCryptography.test_responder_is_authorized_delegatec����������������
���C���s���t�t�j�j�t�j�j�d�d�����|�j��|�j��}�W�d��������n�1�s:0�������Y���t�t�j�j�t�j�j ����|�j��|�j��}�W�d��������n�1�sz0�������Y���t�t�j�j�t�j�j�����|�j��|�j��}�W�d��������n�1�s0�������Y���t�t�j�j
t�j�j��Z��t�j�d�t
�d�t
j�j��d�����|�j��|�j��}�W�d��������n�1��s�0�������Y���W�d��������n�1��s80�������Y���t�t�j�j
t�j�j�t�d��d�����|�j��|�j��}�W�d��������n�1��s0�������Y���t�t�j�j
t�j�j�t�d��d�����|�j��|�j��}�W�d��������n�1��s0�������Y���t�t�j�j
t�j�j�t�d��d�����|�j��|�j��}�W�d��������n�1��s�0�������Y���t�t�j�j
t�j�j��*}�g�|�d���j�_�|�j��|�j��}�W�d��������n�1��sd0�������Y���t�t�j�j
t�j�j��J}�|�d���j�j�d ��}�t�j�d
|�j�d��|�d���j�j�d <�|�j��|�j��}�W�d��������n�1��s0�������Y���t�t�j�j
t�j�j����t��d��`}�d
|�_�t�j�d�t
�d�t
j�j��d�����|�j��|�j��}�W�d��������n�1��sB0�������Y���W�d��������n�1��sb0�������Y���W�d��������n�1��s0�������Y���d�S�)�Ni���)��http_status_codez4cryptography.x509.Extensions.get_extension_for_classz Not found�r6���Z�foo)��check_signature_side_effectrY���r����Z�fake)�r_���r]���r&���)�z�https://example.comrL���)�rQ���rR���rS���Z�UNKNOWNrU���rV���r����rN���r8���Z�UNAUTHORIZEDrT���r����r����r����Z�ExtensionNotFoundZ�AuthorityInformationAccessOIDZ�OCSPr����r�����AssertionErrorr�����certificates�Mockr]���)�r����rW���r`����certZ�mock_serverr����r����r�����test_revoke_resiliency���sh����������,���,���,�����������N������.������.������.����������.���������������.���������������n�z+OSCPTestCryptography.test_revoke_resiliencyc������������������������sx���t�t�j�j�t�j�j��R}�|�d���j�j���f�d�d��}�t�j |�d��}�|�t
|�d���j��_�|�j��|�j
�}�W�d��������n�1�sj0�������Y���d�S�)�NrY���c������������������������s����d�}�t��|�t�����S�)�Nug���Properties that return a naïve datetime object have been deprecated. Please switch to this_update_utc.)��warnings�warnr
���)��msg��valuer����r����
warn_first&���s����������zAOSCPTestCryptography.test_this_update_warning..warn_firstrg���)�rQ���rR���rS���Z�GOODrU���rV���r�����this_updater����Z�PropertyMock�typer����rN���r8���)�r����r`���rs���Z
property_mockrW���r����rq���r�����test_this_update_warning!���s���������������������,�z-OSCPTestCryptography.test_this_update_warningN)
rC���rD���rE���rF���r����r����r����rP���rX���rb���re���rm���rv���r����r����r����r����rG������s�����������������������GrG������c����������������
���c���s���t��d��}�t�|�|��|�_�t��d��`}�t�j�|�d��|�_�t��d��(}�|�rH|�|�_�|�|�|�d��V���W�d��������n�1�sj0�������Y���W�d��������n�1�s0�������Y���W�d��������n�1�s0�������Y���d�S�)�Nz(certbot.ocsp.ocsp.load_der_ocsp_responsez�certbot.ocsp.requests.post)�Z�status_codez.certbot.ocsp.crypto_util.verify_signed_payload)�rY��� mock_postrO���)�r����r�����_construct_mock_ocsp_responser����rk���r6���)��certificate_status�response_statusrf���rh���rY���rx���rO���r����r����r����rQ���5���s�����������������
������������rQ���c��������������������C���s���t��t��d��t���}�t��t��d��t���}�t��t��d��t���}�t���}�|��|�|�t� ��}�|�
�}�t�j�|�|�|�j
|�j�|�j�|�j�|�g�t� �t��t�j��j�d�d��t�d�d����t��t�j��j�d�d��t�d�d����t�j�j�j�d��S�)�Nr:���rH���rc���)�Z�tzinfor,���)�Z�days)�r{���rz���
serial_number�issuer_key_hash�issuer_name_hashr^���rj���Z�hash_algorithmZ�next_updatert���Z�signature_algorithm_oid)�r����r[���r;���r\���r����rR���Z�OCSPRequestBuilderZ�add_certificater ���Z�SHA1Z�buildr����rk���r|���r}���r~���r]���r����r-���r.���r/����replacer����Z�oidZ�SignatureAlgorithmOIDZ
RSA_WITH_SHA1)�rz���r{���rl���r_���rd���Z�builderZ�requestr����r����r����ry���H���s2�������������������������������������������������ry���)�r+���z
/etc/letsencrypt/live/example.org/cert.pem: good
This Update: Dec 17 00:00:00 2016 GMT
Next Update: Dec 24 00:00:00 2016 GMT
z
Response Verify Failure
139903674214048:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:138:Verify error:unable to get local issuer certificate
)��blah.pemz^
blah.pem: good
This Update: Dec 20 18:00:00 2016 GMT
Next Update: Dec 27 18:00:00 2016 GMT
�Response verify OK)�r���z
blah.pem: revoked
This Update: Dec 20 01:00:00 2016 GMT
Next Update: Dec 27 01:00:00 2016 GMT
Revocation Time: Dec 20 01:46:34 2016 GMT
r���)�r���za
blah.pem: unknown
This Update: Dec 20 18:00:00 2016 GMT
Next Update: Dec 27 18:00:00 2016 GMT
r���)�r+���Z tentaclesr���)�r���z
blah.pem: WARNING: Status times invalid.
140659132298912:error:2707307D:OCSP routines:OCSP_check_validity:status expired:ocsp_cl.c:372:
good
This Update: Apr 6 00:00:00 2016 GMT
Next Update: Apr 13 00:00:00 2016 GMT
r���)�r���z
blah.pem: WARNING: Status times invalid.
140659132298912:error:2707307D:OCSP routines:OCSP_check_validity:status expired:ocsp_cl.c:372:
revoked
This Update: Apr 6 00:00:00 2016 GMT
Next Update: Apr 13 00:00:00 2016 GMT
r����__main__r,���)�rw���N)0rF���
contextlibr����r�����sysZ�unittestr����rn���Z�cryptographyr����Z�cryptography.exceptionsr����r����Z�cryptography.hazmat.backendsr����Z�cryptography.hazmat.primitivesr ���Z�cryptography.utilsr
���Z�cryptography.x509r����rR���Z�pytestr.���r����r
���Z
certbot.testsr����r;���r����Z�TestCaser����rG����contextmanagerrQ���ry���r?���r5���Z�openssl_revokedZ�openssl_unknownZ�openssl_brokenZ�openssl_expired_ocspZ�openssl_expired_ocsp_revokedrC����exit�main�argv�__file__r����r����r����r���������sF��������������������������������������������e��4��������
��������� �
�