यदि मेरा SSL प्रमाणपत्र निरस्त कर दिया गया है, तो मैं कैसे जांच करूं?

हार्दिक भेद्यता की हालिया खोज ने प्रमाणपत्र अधिकारियों को प्रमाणपत्र जारी करने के लिए प्रेरित किया है।

मेरे पास दो प्रमाण पत्र हैं जो हार्दिक भेद्यता की खोज से पहले उत्पन्न हुए थे। एसएसएल जारीकर्ता ने मुझे प्रमाण पत्र को पुनः प्राप्त करने के लिए कहा था मैंने अपने सर्वर / डोमेन दोनों को नए प्रमाणपत्रों के साथ अद्यतन किया है।

यदि मेरी समझ सही है तो पुराने प्रमाणपत्रों को सीए द्वारा निरस्त कर दिया जाना चाहिए था और इसे सीआरएल (सर्टिफिकेट निरस्तीकरण सूची) या ओसीएसपी डेटाबेस (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) के लिए बनाया जाना चाहिए था, अन्यथा किसी के लिए तकनीकी रूप से संभव है कि "" मैन इन द मिडल अटैक "सर्टिफिकेट्स से उठाए गए सर्टिफिकेट्स को दोबारा हासिल करने के लिए।

क्या यह जांचने का कोई तरीका है कि क्या मेरे पुराने प्रमाणपत्रों ने इसे CRL और OCSP को बनाया है। यदि वे नहीं है, तो उन्हें शामिल करने का एक तरीका है?

अद्यतन: स्थिति यह है कि मैंने अपने प्रमाणपत्रों को पहले ही बदल दिया है मेरे पास सभी पुराने प्रमाणपत्रों की .crt फाइलें हैं ताकि जाँच करने के लिए url का उपयोग करना वास्तव में संभव नहीं है।

अपने सर्टिफ़िकेट से ऑस्पल्स url प्राप्त करें:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

यह प्रमाणित करने के लिए कि क्या प्रमाणपत्र रद्द किया गया है या नहीं, ocsp सर्वर पर एक अनुरोध भेजें:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

यह एक अच्छा प्रमाण पत्र है।

यह एक निरस्त प्रमाण पत्र है:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

आप विंडोज पर सर्टिफिकेट का उपयोग कर सकते हैं:

यदि आपके पास कोई प्रमाण पत्र है और उसकी वैधता को सत्यापित करना चाहते हैं, तो निम्न आदेश दें:

certutil -f –urlfetch -verify [FilenameOfCertificate]

उदाहरण के लिए, का उपयोग करें

certutil -f –urlfetch -verify mycertificatefile.cer

स्रोत / अधिक जानकारी: TechNet

इसके अतिरिक्त, अपने सीए से जांच अवश्य करें। सिर्फ इसलिए कि आप प्रमाणपत्र को फिर से जोड़ते हैं / एक नया प्राप्त करते हैं, इसका मतलब यह नहीं है कि वे स्वचालित रूप से इसे रद्द कर देते हैं!

SSL प्रमाणपत्रों का परीक्षण करने के लिए आप इस SSLLabs सेवा का उपयोग कर सकते हैं , लेकिन आपको उन्हें वेब से एक्सेस करने की आवश्यकता है। इसके अलावा आप कुछ और जानकारी प्राप्त कर सकते हैं, क्योंकि यह सेवा कुछ ऑडिट प्रदान करती है।

यदि आपने CA के माध्यम से उन प्रमाणपत्रों को निरस्त कर दिया है जो उन्हें उत्पन्न करते हैं तो उन्होंने इसे OCSP और CRLs में बनाया होगा।

यदि आप यह सुनिश्चित करना चाहते हैं कि यह मामला है, तो कृपया प्रमाणपत्र से ocsp url निकालें और फिर उस url के लिए प्रमाणपत्र क्रम संख्या, ca जारीकर्ता प्रमाण पत्र सहित cal जारी करें और ocsp प्रतिक्रिया को पुनः प्राप्त करें और फिर एक प्राप्त कर सकते हैं इसे जांचने और पुष्टि करने के लिए पार्स करें कि यह वास्तव में निरस्त है।

इस उपयोगी पृष्ठ पर अधिक जानकारी: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

नोट: इसके लिए ओपनस् लाइब्रेरी का उपयोग आवश्यक है।

Edit1: मैं देखता हूं कि आपने इस जवाब के बाद स्पष्ट रूप से OCSP और CRL पर जानकारी जोड़ी है।