Вопрос: Как проверить, отменены ли мои SSL-сертификаты?


Недавнее обнаружение уязвимости, вызванной сердечным приступом, побудило органы сертификации повторно выдавать сертификаты.

У меня есть два сертификата, которые были созданы до того, как была обнаружена уязвимость. После того, как издатель SSL сказал мне, что я регенерировал сертификат, я обновил оба моих сервера / домены новыми сертификатами.

Если мое понимание верное, старые сертификаты должны были быть отозваны ЦС и должны были быть отправлены в CRL (Список отзыва сертификатов) или в базу данных OCSP (Online Status Status Protocol), иначе технически возможно, чтобы кто-то выполнил " человек в средней атаке "путем регенерации сертификатов из информации, полученной из скомпрометированных сертификатов.

Есть ли способ проверить, попали ли мои старые сертификаты в CRL и OCSP. Если у них нет пути для их включения?

ОБНОВЛЕНИЕ: Ситуация в том, что я уже заменил свои сертификаты, все, что у меня есть, это файлы .crt старых сертификатов, поэтому использование URL для проверки на самом деле невозможно.


21
2018-04-22 09:14


Источник


Я могу проверить, используя certutil. Прочитайте Вот - MichelZ
Я использую Ubuntu как свой рабочий стол и Centos на своем сервере - sridhar pandurangiah
Затем я призываю вас пометить свой вопрос как таковой - MichelZ
Я рекомендую прочитать это для * nix - MichelZ
@MichelZ - я отметил вопрос с Ubuntu - sridhar pandurangiah


Ответы:


Получите URL ocsp из своего сертификата:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

Отправьте запрос на сервер ocsp, чтобы проверить, отменен ли сертификат или нет:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

это хороший сертификат.

Это отозванный сертификат:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

9
2017-10-29 13:46



Это сработало для меня (спасибо), но я подумал, что я бы также упомянул, что в дополнение к времени отзыва, мой вариант также показал «Отзыв», что было полезно, когда мы связались с эмитентом, пытаясь понять, что происходит с сертификат. - sdek


Вы можете использовать certutil для Windows:

Если у вас есть сертификат и вы хотите проверить его достоверность, выполните следующую команду:

certutil -f –urlfetch -verify [FilenameOfCertificate]

Например, используйте

certutil -f –urlfetch -verify mycertificatefile.cer

Источник / Дополнительная информация: TechNet

Кроме того, обязательно проверьте свой CA. Просто потому, что вы повторно подключите сертификат / получите новый, не означает, что они автоматически отменяют его!


9
2018-04-22 09:29



Установить certutil на сервере Ubuntu используйте команду sudo apt-get install libnss3-tools, Это не очевидно, так как поиск кеша apt-get не возвращает результатов для строки certutil , Я знаю, что сервер OP - CentOS, но возможно, что другие администраторы Ubuntu Server найдут этот вопрос полезным. - dotancohen
Мой ответ был чисто Windows исходя из. Я не знаю никакой реализации этого. Видеть Вот для возможного решения * nix - MichelZ
@dotancohen Хотя эта программа также называется certutil, это не та же программа, что и certutil.exe в Windows и не используется таким же образом. - Dan Getz


Вы можете использовать это Служба SSLLabs для проверки SSL-сертификатов, но вам нужно, чтобы они были доступны из Интернета. Кроме того, вы можете узнать дополнительную информацию, чтобы эта служба предоставляла некоторый аудит.


1
2018-04-23 14:53



Это требует, чтобы сервер работал со старым сертификатом. Но, обновив мои сертификаты, у меня есть файл .crt старого сертификата. - sridhar pandurangiah


Если вы отозвали сертификаты через CA, которые их сгенерировали, они перешли бы в OCSP и CRL.

Если вы хотите убедиться, что это так, то извлеките urc ocsp из сертификата и затем создайте запрос ocsp на этот url, включая серийный номер сертификата, сертификат сертификата ca и получите ответ ocsp, а затем можно проанализируйте его, чтобы проверить и подтвердить, что он действительно отменен.

Более подробная информация на этой полезной странице: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

Примечание: для этого требуется использование библиотеки openssl.

Edit1: Я вижу, что после этого ответа вы добавили информацию о OCSP и CRL.


1
2018-06-08 04:50