यदि मेरा SSL प्रमाणपत्र निरस्त कर दिया गया है, तो मैं कैसे जांच करूं?


23

हार्दिक भेद्यता की हालिया खोज ने प्रमाणपत्र अधिकारियों को प्रमाणपत्र जारी करने के लिए प्रेरित किया है।

मेरे पास दो प्रमाण पत्र हैं जो हार्दिक भेद्यता की खोज से पहले उत्पन्न हुए थे। एसएसएल जारीकर्ता ने मुझे प्रमाण पत्र को पुनः प्राप्त करने के लिए कहा था मैंने अपने सर्वर / डोमेन दोनों को नए प्रमाणपत्रों के साथ अद्यतन किया है।

यदि मेरी समझ सही है तो पुराने प्रमाणपत्रों को सीए द्वारा निरस्त कर दिया जाना चाहिए था और इसे सीआरएल (सर्टिफिकेट निरस्तीकरण सूची) या ओसीएसपी डेटाबेस (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) के लिए बनाया जाना चाहिए था, अन्यथा किसी के लिए तकनीकी रूप से संभव है कि "" मैन इन द मिडल अटैक "सर्टिफिकेट्स से उठाए गए सर्टिफिकेट्स को दोबारा हासिल करने के लिए।

क्या यह जांचने का कोई तरीका है कि क्या मेरे पुराने प्रमाणपत्रों ने इसे CRL और OCSP को बनाया है। यदि वे नहीं है, तो उन्हें शामिल करने का एक तरीका है?

अद्यतन: स्थिति यह है कि मैंने अपने प्रमाणपत्रों को पहले ही बदल दिया है मेरे पास सभी पुराने प्रमाणपत्रों की .crt फाइलें हैं ताकि जाँच करने के लिए url का उपयोग करना वास्तव में संभव नहीं है।


आप मुझे विश्वास है कि प्रमाणित कर सकते हैं। यहाँ
माइकलज़

1
मैं उबंटू का उपयोग अपने डेस्कटॉप और
सेंटोस के रूप में

फिर मैं आपको अपने प्रश्न को टैग करने के लिए प्रोत्साहित करता हूं
मिशेल

मैं इसके लिए * nix
MichelZ

@ मिचेल - मैंने उबंटू के साथ सवाल टैग किया है
श्रीधर पांडुरंगैया

जवाबों:


10

अपने सर्टिफ़िकेट से ऑस्पल्स url प्राप्त करें:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

यह प्रमाणित करने के लिए कि क्या प्रमाणपत्र रद्द किया गया है या नहीं, ocsp सर्वर पर एक अनुरोध भेजें:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

यह एक अच्छा प्रमाण पत्र है।

यह एक निरस्त प्रमाण पत्र है:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

इसने मेरे लिए काम किया (धन्यवाद), लेकिन मुझे लगा कि मैं यह भी जिक्र करूंगा कि रिवोकेशन टाइम के अलावा, मेरे आउट ने रिवोकेशन रीजन को भी प्रदर्शित किया, जो तब मददगार था, जब हमने जारीकर्ता से संपर्क करके यह पता लगाने की कोशिश की कि बिल्ली के साथ क्या हो रहा था। प्रमाण पत्र।
sdek

10

आप विंडोज पर सर्टिफिकेट का उपयोग कर सकते हैं:

यदि आपके पास कोई प्रमाण पत्र है और उसकी वैधता को सत्यापित करना चाहते हैं, तो निम्न आदेश दें:

certutil -f –urlfetch -verify [FilenameOfCertificate]

उदाहरण के लिए, का उपयोग करें

certutil -f –urlfetch -verify mycertificatefile.cer

स्रोत / अधिक जानकारी: TechNet

इसके अतिरिक्त, अपने सीए से जांच अवश्य करें। सिर्फ इसलिए कि आप प्रमाणपत्र को फिर से जोड़ते हैं / एक नया प्राप्त करते हैं, इसका मतलब यह नहीं है कि वे स्वचालित रूप से इसे रद्द कर देते हैं!


1
certutilUbuntu सर्वर पर स्थापित करने के लिए कमांड का उपयोग करें sudo apt-get install libnss3-tools। यह स्पष्ट नहीं है क्योंकि apt-get cache की खोज स्ट्रिंग के लिए कोई परिणाम नहीं देती है certutil। मुझे पता है कि ओपी का सर्वर सेंटोस है, लेकिन यह संभव है कि अन्य उबंटू सर्वर व्यवस्थापक इस प्रश्न को भी उपयोगी पाएंगे।
डॉटनकोहेन

मेरा जवाब विशुद्ध रूप से विंडोज आधारित था। मैं इस के किसी भी * निक्स कार्यान्वयन के बारे में नहीं जानता। एक संभावित * निक्स समाधान के लिए यहां देखें
माइकलज़ेल

2
@dotancohen जबकि उस कार्यक्रम को भी कहा जाता है certutil, यह certutil.exeविंडोज पर समान कार्यक्रम नहीं है, और उसी तरह से उपयोग नहीं किया जाता है।
डैन गेट्ज़

1

SSL प्रमाणपत्रों का परीक्षण करने के लिए आप इस SSLLabs सेवा का उपयोग कर सकते हैं , लेकिन आपको उन्हें वेब से एक्सेस करने की आवश्यकता है। इसके अलावा आप कुछ और जानकारी प्राप्त कर सकते हैं, क्योंकि यह सेवा कुछ ऑडिट प्रदान करती है।


इसके लिए आवश्यक है कि सर्वर पुराने प्रमाणपत्र के साथ चले। लेकिन मेरे पास मेरे सभी प्रमाणपत्रों को पुनर्जीवित करने के लिए पुराने प्रमाणपत्र की .crt फ़ाइल है।
श्रीधर पांडुरंगैया

1

यदि आपने CA के माध्यम से उन प्रमाणपत्रों को निरस्त कर दिया है जो उन्हें उत्पन्न करते हैं तो उन्होंने इसे OCSP और CRLs में बनाया होगा।

यदि आप यह सुनिश्चित करना चाहते हैं कि यह मामला है, तो कृपया प्रमाणपत्र से ocsp url निकालें और फिर उस url के लिए प्रमाणपत्र क्रम संख्या, ca जारीकर्ता प्रमाण पत्र सहित cal जारी करें और ocsp प्रतिक्रिया को पुनः प्राप्त करें और फिर एक प्राप्त कर सकते हैं इसे जांचने और पुष्टि करने के लिए पार्स करें कि यह वास्तव में निरस्त है।

इस उपयोगी पृष्ठ पर अधिक जानकारी: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

नोट: इसके लिए ओपनस् लाइब्रेरी का उपयोग आवश्यक है।

Edit1: मैं देखता हूं कि आपने इस जवाब के बाद स्पष्ट रूप से OCSP और CRL पर जानकारी जोड़ी है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.