sri*_*iah 27 linux ssl ocsp crl heartbleed
最近发现的 Heartbleed 漏洞促使证书颁发机构重新颁发证书。
我有两个证书是在发现 heartbleed 漏洞之前生成的。在 SSL 颁发者告诉我重新生成证书后,我用新证书更新了我的服务器/域。
如果我的理解是正确的,那么旧证书应该已被 CA 吊销,并且应该已将其添加到 CRL(证书吊销列表)或 OCSP 数据库(在线证书状态协议)中,否则技术上可能有人执行“中间人攻击”,通过从受损证书中获取的信息重新生成证书。
有没有办法检查我的旧证书是否已通过 CRL 和 OCSP。如果他们还没有,有没有办法让他们包括在内?
更新:情况是我已经替换了我的证书,我所拥有的只是旧证书的 .crt 文件,因此使用 url 进行检查是不可能的。
Sim*_*mon 15
从您的证书中获取 ocsp 网址:
$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$
向 ocsp 服务器发送请求以检查证书是否被撤销:
$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
This Update: Oct 29 10:00:00 2015 GMT
Next Update: Nov 5 10:00:00 2015 GMT
$
这是一个很好的证书。
这是一个已撤销的证书:
$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
This Update: Oct 29 12:00:00 2015 GMT
Next Update: Nov 5 12:00:00 2015 GMT
Revocation Time: Oct 29 12:33:57 2015 GMT
$
Mic*_*elZ 14
您可以在 Windows 上使用 certutil:
如果您有证书并想验证其有效性,请执行以下命令:
certutil -f –urlfetch -verify [FilenameOfCertificate]
例如,使用
certutil -f –urlfetch -verify mycertificatefile.cer
来源/更多信息: TechNet
此外,请务必与您的 CA 核对。仅仅因为您重新加密证书/获得新证书,并不意味着他们会自动撤销它!