it-swarm.com.de

Beispiel einer Live-Site mit einem vertrauenswürdigen, signierten, aber widerrufenen Zertifikat?

Ich erstelle eine Dokumentation für Benutzer, um sie über den Widerruf von Zertifikaten zu informieren. Ich möchte Screenshots von Browsern beifügen, um die Benutzererfahrung beim Auftreten eines widerrufenen Zertifikats zu demonstrieren. Der Widerruf kann über OCSP oder CRL erfolgen.

Ich habe versucht, CRLs zu durchsuchen, aber sie listen die Seriennummer eines Zertifikats auf und geben keine URL für den Verbindungsversuch an.

Könnte jemand eine URL zu einer Live-Site mit einem nicht selbstsignierten, aber widerrufenen Zertifikat bereitstellen? Oder gibt es eine Möglichkeit, Zertifikate in einer CRL nachzuschlagen und sie mit einer URL zu verknüpfen?

7
flumignan

Das widerrufene Zertifikat von Mozilla Addons und die zugehörigen Schlüsseldateien sind in freier Wildbahn verfügbar. Sie können es also selbst testen. Für dieses Experiment müssen Sie die Domäne addons.mozilla.org auf die IP-Adresse Ihres Testservers verweisen.

Die private Schlüsseldatei ist 27 Zeilen lang und befindet sich unter http://erratasec.blogspot.com/2011/03/verifying-comodo-hackers-key.html . Das Zertifikat kann von heruntergeladen werden http://www.multiupload.com/J9I8NFWPT0.

Wenn Sie einen Server auf Ihrem lokalen Computer (localhost) ausführen, ändern Sie die Hosts-Datei, sodass addons.mozilla.org auf 127.0.0.1 zeigt. Verwenden Sie die obigen Schlüssel- und Zertifikatdateien für Ihren Server.

Anweisungen mit dem Befehl openssl unter Ubuntu/Linux:

  1. Fügen Sie die Schlüsseldatei in moz.pem und das Zertifikat in moz.crt ein.
  2. 127.0.0.1 addons.mozilla.org zu /etc/hosts hinzufügen
  3. Starten Sie einen HTTPS-Server mit dem Befehl openssl s_server:

    Sudo openssl s_server -cert moz.crt -key moz.pem -accept 443 -www
    
  4. Gehen Sie zu Ihrem Browser und machen Sie Screenshots, kopieren Sie Text usw.
  5. Wenn Sie fertig sind, entfernen Sie den Eintrag aus /etc/hosts.

Ein (getestetes) Linux-Shell-Skript finden Sie unter http://Pastebin.com/DRE32SFR . Laden Sie es herunter und führen Sie es als root aus (erforderlich für das Binden an Port 443 und das Bearbeiten von /etc/hosts)

Die folgenden Screenshots wurden unter Ubuntu 10.10 in Mozilla Firefox (ohne den Patch) mit den obigen Anweisungen aufgenommen.

Firefox mit aktivierter CRL gibt eine Warnung aus: Firefox rejects the certificate using CRL's

Wenn Sie Firefox mit deaktivierter CRL-Prüfung öffnen, um einen nicht erreichbaren CRL-Server zu simulieren, wird die Seite ohne einen Atemzug geöffnet: Firefox opens the page successfully without error messages

2
Lekensteyn

Ich habe gerade versucht, mich auf dieser Website für eine seriöse, große britische Versicherungsgesellschaft anzumelden, und ihr Zertifikat ist ungültig:

http://www.axa.co.uk/insurance/myaxaspace (12:02 GMT, 10. April 2011)

Laut Firefox ist das Zertifikat " nicht vertrauenswürdig, da keine Ausstellerkette bereitgestellt wurde ", aber ich bin mir nicht sicher, ob Sie danach suchen.

0
ajcw