Como posso verificar se meus certificados SSL foram revogados

21

A descoberta recente da vulnerabilidade heartbleed solicitou às autoridades de certificação que emitam novamente os certificados.

Eu tenho dois certificados que foram gerados antes que a vulnerabilidade heartbleed fosse descoberta. Depois que o emissor SSL me disse para regenerar o certificado, atualizei os dois servidores / domínios com os novos certificados.

Se meu entendimento estiver correto, os certificados antigos devem ter sido revogados pela CA e enviados para a CRL (Lista de certificados revogados) ou o banco de dados OCSP (Protocolo de status de certificados on-line), caso contrário, é tecnicamente possível executar um "homem no meio ataque" regenerando os certificados a partir de informações coletadas de certificados comprometidos.

Existe uma maneira de verificar se meus certificados antigos chegaram à CRL e ao OCSP. Se eles não têm, há uma maneira de incluí-los?

UPDATE : The situation is that I have already replaced my certificates all I have is the .crt files of the old certificates so using the url to check is not really possible.

    
por sridhar pandurangiah 22.04.2014 / 11:14

4 respostas

9

Obtenha a URL ocsp do seu certificado:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

Envie uma solicitação ao servidor ocsp para verificar se o certificado foi revogado ou não:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

este é um bom certificado.

Este é um certificado revogado:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$
    
por 29.10.2015 / 14:46
9

Você pode usar o certutil no Windows:

Se você tiver um certificado e quiser verificar sua validade, execute o seguinte comando:

certutil -f –urlfetch -verify [FilenameOfCertificate]

Por exemplo, use

certutil -f –urlfetch -verify mycertificatefile.cer

Fonte / Mais informações: TechNet

Além disso, verifique com sua CA. Só porque você reinscreve o certificado / obtém um novo, não significa que eles o revogam automaticamente!

    
por 22.04.2014 / 11:29
1

Você pode usar este serviço SSLLabs para testar certificados SSL, mas é necessário acessá-los da Web. Além disso, você pode descobrir mais algumas informações, fazendo com que esse serviço forneça alguma auditoria.

    
por 23.04.2014 / 16:53
1

Se você tiver revogado os certificados por meio da CA que os gerou, eles teriam feito isso para OCSP e CRLs.

Se você quiser ter certeza de que esse é o caso, então extraia a url ocsp do certificado e construa uma solicitação ocsp para essa url, incluindo o número de série do certificado, o certificado de emissor ca e recupere a resposta ocsp e então pode-se analisá-lo para verificar e confirmar que é de fato revogado.

Mais detalhes nesta página útil: link

Nota: isso requer o uso da biblioteca openssl.

Edit1: vejo que você adicionou informações sobre OCSP e CRL explicitamente após essa resposta.

    
por 08.06.2014 / 06:50