Niedawne odkrycie luki w zabezpieczeniach spowodowało, że urzędy certyfikacji ponownie wystawiły certyfikaty.
Mam dwa certyfikaty, które zostały wygenerowane przed wykryciem podatności na atak serca. Po tym, jak wystawca SSL poprosił mnie o ponowne wygenerowanie certyfikatu, zaktualizowałem oba moje serwery / domeny o nowe certyfikaty.
Jeśli moje rozumowanie jest poprawne, stare certyfikaty powinny zostać odwołane przez urząd certyfikacji i powinny dotrzeć do listy CRL (lista unieważnień certyfikatów) lub bazy danych OCSP (Online Certificate Status Protocol), w przeciwnym razie technicznie możliwe jest wykonanie „ man in the middle attack ”poprzez regenerację certyfikatów z informacji zebranych z zainfekowanych certyfikatów.
Czy istnieje sposób, aby sprawdzić, czy moje stare certyfikaty dotarły do list CRL i OCSP. Jeśli nie, czy istnieje sposób, aby je uwzględnić?
AKTUALIZACJA: Sytuacja polega na tym, że już wymieniłem moje certyfikaty, mam tylko pliki .crt starych certyfikatów, więc użycie adresu URL do sprawdzenia nie jest tak naprawdę możliwe.
Odpowiedzi:
Uzyskaj adres URL ocsp ze swojego certyfikatu:
Wyślij żądanie do serwera ocsp, aby sprawdzić, czy certyfikat został unieważniony:
to jest dobry certyfikat.
To jest odwołany certyfikat:
źródło
Możesz użyć certutil w systemie Windows:
Jeśli masz certyfikat i chcesz sprawdzić jego ważność, wykonaj następujące polecenie:
Na przykład użyj
Źródło / Więcej informacji: TechNet
Ponadto koniecznie skontaktuj się z urzędem certyfikacji. To, że ponownie wygenerujesz certyfikat / zdobędziesz nowy, nie oznacza, że automatycznie go unieważnią!
źródło
certutil
na serwerze Ubuntu, użyj poleceniasudo apt-get install libnss3-tools
. Nie jest to oczywiste, ponieważ przeszukiwanie pamięci podręcznej apt-get nie zwraca żadnych wyników dla łańcuchacertutil
. Wiem, że serwerem OP jest CentOS, ale możliwe jest, że inni administratorzy Ubuntu Server również uznają to pytanie za pomocne.certutil
, nie jest to ten sam program cocertutil.exe
w systemie Windows i nie jest używany w ten sam sposób.Możesz użyć tej usługi SSLLabs do testowania certyfikatów SSL, ale potrzebujesz ich, aby były dostępne z Internetu. Ponadto możesz znaleźć więcej informacji, ponieważ usługa ta zapewnia pewien audyt.
źródło
Jeśli odwołałeś certyfikaty za pośrednictwem urzędu certyfikacji, który je wygenerował, trafiłyby do OCSP i list CRL.
Jeśli chcesz się upewnić, że tak jest, wyodrębnij adres ocsp z certyfikatu, a następnie utwórz żądanie ocsp do tego adresu URL, w tym numer seryjny certyfikatu, certyfikat wystawcy ca i pobierz odpowiedź ocsp, a następnie możesz przeanalizuj go, aby sprawdzić i potwierdzić, że rzeczywiście został odwołany.
Więcej szczegółów na tej użytecznej stronie: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/
Uwaga: wymaga to użycia biblioteki openssl.
Edycja1: Widzę, że po tej odpowiedzi wyraźnie dodałeś informacje o OCSP i CRL.
źródło