Недавнее обнаружение уязвимости Heartbleed побудило центры сертификации повторно выпустить сертификаты.
У меня есть два сертификата, которые были созданы до того, как была обнаружена уязвимость. После того, как эмитент SSL сказал мне повторно сгенерировать сертификат, я обновил оба моих сервера / домены новыми сертификатами.
Если я правильно понимаю, то старые сертификаты должны были быть отозваны центром сертификации и должны быть внесены в CRL (список отзыва сертификатов) или базу данных OCSP (протокол статуса онлайн-сертификатов), в противном случае для кого-то технически возможно выполнить " атака "человек посередине" "путем восстановления сертификатов на основе информации, полученной из скомпрометированных сертификатов.
Есть ли способ проверить, попали ли мои старые сертификаты в CRL и OCSP. Если нет, есть ли способ включить их?
ОБНОВЛЕНИЕ: ситуация такова, что я уже заменил свои сертификаты, все, что у меня есть, - это файлы .crt старых сертификатов, поэтому использование URL-адреса для проверки на самом деле невозможно.
Вы можете использовать certutil в Windows:
Если у вас есть сертификат и вы хотите проверить его действительность, выполните следующую команду:
certutil -f –urlfetch -verify [FilenameOfCertificate]
Например, используйте
certutil -f –urlfetch -verify mycertificatefile.cer
Источник / Дополнительная информация: TechNet
Кроме того, обязательно свяжитесь с вашим центром сертификации. Тот факт, что вы повторно вводите сертификат / получаете новый, не означает, что они автоматически отзывают его!
Получите URL-адрес ocsp из вашего сертификата:
$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$
Отправьте запрос на сервер ocsp, чтобы проверить, отозван ли сертификат:
$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
This Update: Oct 29 10:00:00 2015 GMT
Next Update: Nov 5 10:00:00 2015 GMT
$
это хороший сертификат.
Это отозванный сертификат:
$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
This Update: Oct 29 12:00:00 2015 GMT
Next Update: Nov 5 12:00:00 2015 GMT
Revocation Time: Oct 29 12:33:57 2015 GMT
$
Вы можете использовать это Сервис SSLLabs для тестирования сертификатов SSL, но вам необходимо, чтобы они были доступны из Интернета. Кроме того, вы можете получить дополнительную информацию, потому что эта служба проводит некоторый аудит.
Если вы отозвали сертификаты через ЦС, который их сгенерировал, они попали бы в OCSP и CRL.
Если вы хотите убедиться, что это так, извлеките URL-адрес ocsp из сертификата, а затем создайте запрос ocsp для этого URL-адреса, включая серийный номер сертификата, сертификат эмитента CA и получите ответ ocsp, а затем можно проанализируйте его, чтобы проверить и подтвердить, что он действительно отозван.
Более подробная информация на этой полезной странице: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/
Примечание: для этого требуется использование библиотеки openssl.
Edit1: Я вижу, что вы явно добавили информацию об OCSP и CRL после этого ответа.