it-swarm.com.de

Wie überprüfe ich, ob meine SSL-Zertifikate widerrufen wurden?

Die jüngste Entdeckung der Heartbleed-Sicherheitsanfälligkeit hat die Zertifizierungsstellen dazu veranlasst, Zertifikate erneut auszustellen.

Ich habe zwei Zertifikate, die generiert wurden, bevor die Heartbleed-Sicherheitsanfälligkeit entdeckt wurde. Nachdem der SSL-Aussteller mich aufgefordert hat, das Zertifikat neu zu generieren, habe ich meine beiden Server/Domänen mit den neuen Zertifikaten aktualisiert.

Wenn mein Verständnis korrekt ist, sollten die alten Zertifikate von der Zertifizierungsstelle widerrufen worden sein und es in die CRL (Certificate Revocation List) oder die OCSP-Datenbank (Online Certificate Status Protocol) geschafft haben, andernfalls ist es technisch möglich, dass jemand eine " Mann im mittleren Angriff "durch Regenerieren der Zertifikate aus Informationen, die aus kompromittierten Zertifikaten stammen.

Gibt es eine Möglichkeit zu überprüfen, ob meine alten Zertifikate es zu CRL und OCSP geschafft haben? Wenn nicht, gibt es eine Möglichkeit, sie aufzunehmen?

UPDATE: Die Situation ist, dass ich meine Zertifikate bereits ersetzt habe. Ich habe nur die CRT-Dateien der alten Zertifikate, sodass die Verwendung der URL zum Überprüfen nicht wirklich möglich ist.

23

Holen Sie sich die OCSP-URL von Ihrem Zertifikat:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

Senden Sie eine Anfrage an den ocsp-Server, um zu überprüfen, ob das Zertifikat widerrufen wurde oder nicht:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "Host" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

das ist ein gutes Zertifikat.

Dies ist ein widerrufenes Zertifikat:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "Host" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$
11
Simon

Sie können certutil unter Windows verwenden:

Wenn Sie ein Zertifikat haben und dessen Gültigkeit überprüfen möchten, führen Sie den folgenden Befehl aus:

certutil -f –urlfetch -verify [FilenameOfCertificate]

Verwenden Sie zum Beispiel

certutil -f –urlfetch -verify mycertificatefile.cer

Quelle/Weitere Informationen: TechNet

Fragen Sie außerdem bei Ihrer Zertifizierungsstelle nach. Nur weil Sie das Zertifikat erneut eingeben/ein neues erhalten, heißt das nicht, dass es automatisch widerrufen wird!

11
MichelZ

Sie können diesen SSLLabs-Dienst verwenden, um SSL-Zertifikate zu testen, aber Sie benötigen sie, um über das Web zugänglich zu sein. Darüber hinaus können Sie weitere Informationen herausfinden, da dieser Dienst eine Prüfung durchführt.

2
mack

Wenn Sie die Zertifikate über die Zertifizierungsstelle, die sie generiert hat, widerrufen haben, hätten sie es zu OCSP und CRLs geschafft.

Wenn Sie sicherstellen möchten, dass dies der Fall ist, extrahieren Sie bitte die ocsp-URL aus dem Zertifikat und erstellen Sie dann eine ocsp-Anforderung an diese URL, einschließlich der Seriennummer des Zertifikats, des CA-Ausstellerzertifikats, und rufen Sie die ocsp-Antwort ab Analysieren Sie es, um zu überprüfen und zu bestätigen, dass es tatsächlich widerrufen wurde.

Weitere Details auf dieser nützlichen Seite: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

Hinweis: Dies erfordert die Verwendung der openssl-Bibliothek.

Edit1: Ich sehe, dass Sie nach dieser Antwort explizit Informationen zu OCSP und CRL hinzugefügt haben.

1
Khanna111