Недавнее обнаружение уязвимой части сердца побудило центры сертификации переиздавать сертификаты.
У меня есть два сертификата, которые были сгенерированы до того, как была обнаружена уязвимость. После того, как издатель SSL сказал мне восстановить сертификат, я обновил оба моих сервера / домена новыми сертификатами.
Если мое понимание верно, тогда старые сертификаты должны были быть отозваны ЦС и должны были быть внесены в CRL (список отзыва сертификатов) или базу данных OCSP (сетевой протокол статуса сертификата), в противном случае технически возможно, чтобы кто-то выполнил " «Человек в середине атаки» путем восстановления сертификатов из информации, полученной из скомпрометированных сертификатов.
Есть ли способ проверить, сделали ли мои старые сертификаты CRL и OCSP. Если у них нет, есть ли способ включить их?
ОБНОВЛЕНИЕ: Ситуация такова, что я уже заменил свои сертификаты, все, что у меня есть, это файлы .crt старых сертификатов, поэтому использование URL для проверки на самом деле невозможно.
Ответы:
Получите URL-адрес OCSP от вашего сертификата:
Отправьте запрос на сервер ocsp, чтобы проверить, отозван ли сертификат или нет:
это хороший сертификат.
Это отозванный сертификат:
источник
Вы можете использовать certutil в Windows:
Если у вас есть сертификат и вы хотите проверить его действительность, выполните следующую команду:
Например, используйте
Источник / Больше информации: TechNet
Кроме того, не забудьте проверить с вашим CA. Тот факт, что вы повторно вводите сертификат / получаете новый, не означает, что они автоматически его отменяют!
источник
certutil
на сервер Ubuntu используйте командуsudo apt-get install libnss3-tools
. Это не очевидно, так как поиск в кэше apt-get не возвращает результатов для строкиcertutil
. Я знаю, что сервером OP является CentOS, но возможно, что другие администраторы Ubuntu Server также сочтут этот вопрос полезным.certutil
, она не такая же, какcertutil.exe
в Windows, и не используется таким же образом.Вы можете использовать эту службу SSLLabs для тестирования SSL-сертификатов, но вам нужно, чтобы они были доступны через Интернет. Кроме того, вы можете узнать больше информации, потому что этот сервис предоставляет некоторый аудит.
источник
Если вы отозвали сертификаты через ЦС, который их сгенерировал, они бы сделали это с OCSP и CRL.
Если вы хотите убедиться, что это так, то, пожалуйста, извлеките URL-адрес ocsp из сертификата, а затем создайте запрос ocsp к этому URL-адресу, включая серийный номер сертификата, сертификат издателя ca и получите ответ ocsp, а затем можно проанализируйте это, чтобы проверить и подтвердить, что это действительно отозвано.
Более подробно на этой полезной странице: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/
Примечание: это требует использования библиотеки openssl.
Edit1: я вижу, что вы добавили информацию об OCSP и CRL явно после этого ответа.
источник