a
����}|g}H����������������������@���sN���d�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�Z�d�d�l�m Z ��d�d�l
m�Z���d�d�l
m�Z���d�d l
m�Z���d�d
l�m�Z���d�d�l�m�Z���d�d�l�m�Z���d�d�l�Z�d�d�l�Z�d�d
l�m�Z���d�d�l�m�Z���d�Z�G�d�d��d�e�j��Z�G�d�d��d�e�j��Z e�j!d"d�d���Z"d�d��Z#d�Z$d�Z%d�Z&d�Z'd�Z(d�Z)d�Z*e+d k��rJe�,e�-e�j.d!d����e/g�������d�S�)#z�Tests for ocsp.py����N)��datetime)� timedelta)��mock)��x509)��InvalidSignature)��UnsupportedAlgorithm)��default_backend)��hashes)��CryptographyDeprecationWarning��ocsp)��errors)��utilz;Missing = in header key=value
ocsp: Use -help for summary.
c��������������������@���s���e�Z�d�Z�d�Z�d�d��Z�e��d��e��d��e��d��d�d�����Z�e��d �e��d
�e��d��d�d
����Z�d�d��Z e��d��e��d��d�d����Z
d�S�)��OCSPTestOpenSSLz5
OCSP revocation tests using OpenSSL binary.
c���������������� ���C���s~���d�d�l�m�}���t��d��T}�t��d��*}�t�|�_�d�|�_�|�j�d�d��|�_�W�d��������n�1�sR0�������Y���W�d��������n�1�sp0�������Y���d�S�)�Nr����r�����certbot.ocsp.subprocess.run�certbot.util.exe_existsT�Z�enforce_openssl_binary_usage) �certbotr����r�����patch�out�stderr�return_value�RevocationChecker�checker)��selfr�����mock_run�mock_exists�r����E/usr/lib/python3.9/site-packages/certbot/_internal/tests/ocsp_test.py�setUp"���s����������������z�OCSPTestOpenSSL.setUpz�certbot.ocsp.logger.infor����r����c��������������������C���s���t�|�j�_�d�|�_�d�d�l�m�}���|�j�d�d��}�|�j�d�k�s4J��|��d��d�g�k�sHJ��t��d��d ��|�j�_�|�j�d�d��}�|��d��d
d�g�k�s|J��|�j d�u�sJ��d�|�_�d�|�_�|�j�d�d��}�|�j�d�k�sJ��|�j�d�k�sJ��|�j d�u�sJ��d�S�)�NTr����r����r���������xz�Host=x�
����Z�HostF)
r����r����r����r����r����r����
call_countZ host_args partition�broken)�r����r����r�����mock_logr����r����r����r����r���� test_init*���s �����������������������������������z�OCSPTestOpenSSL.test_init#certbot.ocsp._determine_ocsp_server!certbot.ocsp.crypto_util.notAfterz�certbot.util.run_scriptc��������������������C���s����t��t�j��}�t���}�d�|�_�d�|�_�|�t�d�d����|�_ d�|�j
_�d�|�_ |�j
�|��d�u�sRJ��d�|�j
_�t
t�d�d�����|�_ |�j
�|��d�u�sJ��|�j�d k�sJ��d
|�_ |�j
�|��d�u�sJ��t��d��|�_�|�j
�|��d�u�sJ��|�j�d�k�sJ��|�|�_ d�|�_ |�j�}�|�j
�|��d�u�sJ��|�j�|�k��s�J��d�S�)�Nr!����yr#����Z�hoursT)��r-���Fr ���r����)�z�http://x.coz�x.coz#Unable to load certificate launcher)�r�����now�pytz�UTCr���� MagicMock cert_path
chain_pathr����r����r����r&����ocsp_revoked�tuple
openssl_happyr$���r
���Z�SubprocessError�side_effect)�r����r����Z�mock_na�mock_determiner.����cert_objZ�count_beforer����r����r�����test_ocsp_revokedB���s,�����������������������������������������������z!OCSPTestOpenSSL.test_ocsp_revokedc��������������������C���s0���t��d��}�d�d�l�m�}���|��|��}�d�|�k�s,J��d�S�)�N�ocsp_certificate.pemr����r����)�z�http://ocsp.test4.buypass.comz�ocsp.test4.buypass.com)� test_util�vector_pathr����r����Z�_determine_ocsp_server)�r����r2���r�����resultr����r����r�����test_determine_ocsp_serverb���s������
���
�z*OCSPTestOpenSSL.test_determine_ocsp_serverz�certbot.ocsp.loggerc��������������������C���s(���t�|�_�d�d�l�m�}���|�j�t��d�u�s$J��|�j�t��d�u�s6J��|�j�j�d�k�sFJ��|�j�j�d�k�sVJ��d�|�j�_�|�j�t �d�u�spJ��|�j�j�d�k�sJ��|�j�j�d�k�sJ��|�j�t
�d�u�sJ��|�j�j�d�k�sJ��|�j�t��d�u�sJ��|�j�j�d�k�sJ��d�|�j�_�|�j�t
�d�u�sJ��|�j�j�d�k�sJ��|�j�t��d�u��s�J��|�j�j�d�k��s$J��d�S�)�Nr����r����Fr ���r#���T)��openssl_confusedr����r����r����Z�_translate_ocsp_queryr6����debugr$���Z�warning�openssl_unknown�openssl_expired_ocsp�openssl_broken�info�openssl_revoked�openssl_expired_ocsp_revoked)�r����r����r'���r����r����r����r�����test_translate_ocspi���s&�����������������������������������������z#OCSPTestOpenSSL.test_translate_ocspN)��__name__
__module__�__qualname__�__doc__r����r����r����r(���r:���r?���rH���r����r����r����r����r��������s��������������������������������r����c��������������������@���s\���e�Z�d�Z�d�Z�d�d��Z�e��d��e��d��d�d����Z�d�d �Z�d
d��Z d�d
�Z
d�d��Z�d�d��Z�d�S�)��OSCPTestCryptographyz;
OCSP revokation tests using Cryptography >= 2.4.0
c��������������������C���s���d�d�l�m�}���|���|�_�t��d��|�_�t��d��|�_�t� �|�_
|�j�|�j
_�|�j�|�j
_�t��t
j��}�t�j�d�|�t�d�d����d��|�_�|�j�����|��|�j�j����d�S�) Nr����r����r;����ocsp_issuer_certificate.pemr*���r#���r,���)�r����)�r����r����r����r����r<���r=���r2���r3���r����r1���r9���r����r.���r/���r0���r����r����Z
mock_notAfter�startZ
addCleanup�stop)�r����r����r.���r����r����r����r�������s��������
�����
�
�
��������
�z�OSCPTestCryptography.setUpr)���z%certbot.ocsp._check_ocsp_cryptographyc��������������������C���s,���d�|�_�|�j��|�j����|��|�j�|�j�d�d����d�S�)�N)��http://example.com�example.comrQ���
���)�r����r����r4���r9���Z�assert_called_once_withr2���r3���)�r����
mock_checkr8���r����r����r���� test_ensure_cryptography_toggled���s����������z5OSCPTestCryptography.test_ensure_cryptography_toggledc��������������������C���sL���t�t�j�j�t�j�j�����|�j��|�j��}�W�d��������n�1�s60�������Y���|�sHJ��d�S�)�N)
_ocsp_mock�ocsp_lib�OCSPCertStatus�REVOKED�OCSPResponseStatus
SUCCESSFULr����r4���r9���)�r�����revokedr����r����r�����test_revoke���s��������,�z OSCPTestCryptography.test_revokec��������������������C���s����t��t��d��t���}�t�t�j�j�t�j j
�p}�|�j�|�d���j�_
d�|�d���j�_�|�j��|�j����t�j��|����j�}�d�|�d���j�_
|�|�d���j�_�|�j��|�j����W�d��������n�1�s0�������Y���|�d���j�d�k�sJ��|�d���j�d���d���d�����|�����k�sJ��|�d���j�d���d���d�����|�����k��s�J��d�S�)�NrN���
mock_responserT���r#���r����r ����r�����load_pem_x509_certificater<����load_vectorr����rV���rW���rX���rY���rZ���r[����subjectr�����responder_nameZ�responder_key_hashr����r4���r9���Z�SubjectKeyIdentifierZ�from_public_keyZ
public_keyZ�digestr$���Z�call_args_listZ�public_numbers)�r�����issuer�mocks�key_hashr����r����r�����test_responder_is_issuer���s*�����������������������������,�����
����
z-OSCPTestCryptography.test_responder_is_issuerc��������������������C���s~���t��t��d��t���}�t��t��d��t���}�t�t�j�j�t�j j
�p}�|�j�|�d���j�_
d�|�d���j�_�|�j��|�j����t�j��|����j�}�d�|�d���j�_
|�|�d���j�_�|�j��|�j����W�d��������n�1�s0�������Y���|�d���j�d�k�sJ��|�d���j�d���d���d�����|�����k�sJ��|�d���j�d���d���d�����|�����k��s"J��|�d���j�d���d���d�����|�����k��sNJ��|�d���j�d ��d���d�����|�����k��szJ��d�S�)
NrN����ocsp_responder_certificate.pemr^���rT�������r����r ���r#�������r_���)�r����rd��� responderre���rf���r����r����r����%test_responder_is_authorized_delegate���s<����������������������������������,�����
����
���
���
z:OSCPTestCryptography.test_responder_is_authorized_delegatec����������������
���C���s����t�t�j�j�t�j�j�d�d�����|�j��|�j��}�W�d��������n�1�s:0�������Y���|�d�u�sPJ��t�t�j�j�t�j�j ����|�j��|�j��}�W�d��������n�1�s0�������Y���|�d�u�sJ��t�t�j�j�t�j�j�����|�j��|�j��}�W�d��������n�1�s0�������Y���|�d�u�sJ��t�t�j�j
t�j�j��Z��t�j�d�t
�d�t
j�j��d�����|�j��|�j��}�W�d��������n�1��s<0�������Y���W�d��������n�1��s\0�������Y���|�d�u��stJ��t�t�j�j
t�j�j�t�d��d�����|�j��|�j��}�W�d��������n�1��s0�������Y���|�d�u��sJ��t�t�j�j
t�j�j�t�d��d�����|�j��|�j��}�W�d��������n�1��s�0�������Y���|�d�u��s$J��t�t�j�j
t�j�j�t�d��d�����|�j��|�j��}�W�d��������n�1��sd0�������Y���|�d�u��s|J��t�t�j�j
t�j�j��*}�g�|�d ��j�_�|�j��|�j��}�W�d��������n�1��s0�������Y���|�d�u��sJ��t�t�j�j
t�j�j��J}�|�d ��j�j�d
��}�t�j�d�|�j�d��|�d ��j�j�d
<�|�j��|�j��}�W�d��������n�1��s<0�������Y���|�d�u��sTJ��t�t�j�j
t�j�j����t��d
�`}�d�|�_�t�j�d�t
�d�t
j�j��d�����|�j��|�j��}�W�d��������n�1��s0�������Y���W�d��������n�1��s0�������Y���W�d��������n�1��s0�������Y���|�d�u��s�J��d�S�)�Ni���)��http_status_codeFz4cryptography.x509.Extensions.get_extension_for_classz Not found�r7���Z�foo)��check_signature_side_effectr^���r����Z�fake)�rd���rb���r)���)�z�https://example.comrR���)�rV���rW���rX���Z�UNKNOWNrZ���r[���r����r4���r9���Z�UNAUTHORIZEDrY���r����r����r����Z�ExtensionNotFoundZ�AuthorityInformationAccessOIDZ�OCSPr����r�����AssertionErrorr�����certificates�Mockrb���)�r����r\���re����certZ�mock_serverr����r����r�����test_revoke_resiliency���sz����������,�����,�����,�������������N��������.��������.��������.������������.�����������������.�����������������n�z+OSCPTestCryptography.test_revoke_resiliencyc������������������������s���t�t�j�j�t�j�j��R}�|�d���j�j���f�d�d��}�t�j |�d��}�|�t
|�d���j��_�|�j��|�j
�}�W�d��������n�1�sj0�������Y���|�d�u�sJ��d�S�)�Nr^���c������������������������s����d�}�t��|�t�����S�)�Nug���Properties that return a naïve datetime object have been deprecated. Please switch to this_update_utc.)��warnings�warnr
���)��msg��valuer����r����
warn_first&���s����������zAOSCPTestCryptography.test_this_update_warning..warn_firstrn���F)�rV���rW���rX���Z�GOODrZ���r[���r�����this_updater����Z�PropertyMock�typer����r4���r9���)�r����re���rz���Z
property_mockr\���r����rx���r�����test_this_update_warning!���s���������������������,�z-OSCPTestCryptography.test_this_update_warningN)
rI���rJ���rK���rL���r����r����r����rU���r]���rg���rl���rt���r}���r����r����r����r����rM������s�����������������������GrM������c����������������
���c���s���t��d��}�t�|�|��|�_�t��d��`}�t�j�|�d��|�_�t��d��(}�|�rH|�|�_�|�|�|�d��V���W�d��������n�1�sj0�������Y���W�d��������n�1�s0�������Y���W�d��������n�1�s0�������Y���d�S�)�Nz(certbot.ocsp.ocsp.load_der_ocsp_responsez�certbot.ocsp.requests.post)�Z�status_codez.certbot.ocsp.crypto_util.verify_signed_payload)�r^��� mock_postrT���)�r����r�����_construct_mock_ocsp_responser����rr���r7���)��certificate_status�response_statusrm���ro���r^���r���rT���r����r����r����rV���5���s�����������������
������������rV���c��������������������C���s���t��t��d��t���}�t��t��d��t���}�t��t��d��t���}�t���}�|��|�|�t� ��}�|�
�}�t�j�|�|�|�j
|�j�|�j�|�j�|�g�t� �t��t�j��j�d�d��t�d�d����t��t�j��j�d�d��t�d�d����t�j�j�j�d��S�)�Nr;���rN���rh���)�Z�tzinfor ���)�Z�days)�r���r���
serial_number�issuer_key_hash�issuer_name_hashrc���rq���Z�hash_algorithmZ�next_updater{���Z�signature_algorithm_oid)�r����r`���r<���ra���r����rW���Z�OCSPRequestBuilderZ�add_certificater ���Z�SHA1Z�buildr����rr���r���r���r���rb���r����r.���r/���r0����replacer����Z�oidZ�SignatureAlgorithmOIDZ
RSA_WITH_SHA1)�r���r���rs���rd���rk���Z�builderZ�requestr����r����r����r���H���s2�������������������������������������������������r���)�r-���z
/etc/letsencrypt/live/example.org/cert.pem: good
This Update: Dec 17 00:00:00 2016 GMT
Next Update: Dec 24 00:00:00 2016 GMT
z
Response Verify Failure
139903674214048:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:138:Verify error:unable to get local issuer certificate
)��blah.pemz^
blah.pem: good
This Update: Dec 20 18:00:00 2016 GMT
Next Update: Dec 27 18:00:00 2016 GMT
�Response verify OK)�r���z
blah.pem: revoked
This Update: Dec 20 01:00:00 2016 GMT
Next Update: Dec 27 01:00:00 2016 GMT
Revocation Time: Dec 20 01:46:34 2016 GMT
r���)�r���za
blah.pem: unknown
This Update: Dec 20 18:00:00 2016 GMT
Next Update: Dec 27 18:00:00 2016 GMT
r���)�r-���Z tentaclesr���)�r���z
blah.pem: WARNING: Status times invalid.
140659132298912:error:2707307D:OCSP routines:OCSP_check_validity:status expired:ocsp_cl.c:372:
good
This Update: Apr 6 00:00:00 2016 GMT
Next Update: Apr 13 00:00:00 2016 GMT
r���)�r���z
blah.pem: WARNING: Status times invalid.
140659132298912:error:2707307D:OCSP routines:OCSP_check_validity:status expired:ocsp_cl.c:372:
revoked
This Update: Apr 6 00:00:00 2016 GMT
Next Update: Apr 13 00:00:00 2016 GMT
r����__main__r ���)�r~���N)0rL���
contextlibr����r�����sysZ�unittestr����ru���Z�cryptographyr����Z�cryptography.exceptionsr����r����Z�cryptography.hazmat.backendsr����Z�cryptography.hazmat.primitivesr ���Z�cryptography.utilsr
���Z�cryptography.x509r����rW���Z�pytestr/���r����r
���Z
certbot.testsr����r<���r����Z�TestCaser����rM����contextmanagerrV���r���r@���r6���rF���rB���rD���rC���rG���rI����exit�main�argv�__file__r����r����r����r���������sF��������������������������������������������e��4��������
��������� �
�