SSL sertifikalarımın iptal edilip edilmediğini nasıl kontrol ederim?

Heartbleed güvenlik açığının son keşfi, sertifika yetkililerinin sertifikaları yeniden düzenlemesine neden oldu.

Heartbleed güvenlik açığı keşfedilmeden önce oluşturulan iki sertifikam var. SSL veren kuruluş sertifikayı yeniden oluşturmamı söyledikten sonra, hem sunucularımı / etki alanlarını yeni sertifikalarla güncelledik.

Anlayışım doğruysa, eski sertifikalar CA tarafından iptal edilmeli ve bunu CRL'ye (Sertifika iptal Listesi) veya OCSP veritabanına (Çevrimiçi Sertifika Durum Protokolü) yapmalıydı, aksi takdirde birinin teknik olarak gerçekleştirmesi mümkün olur " "Orta saldırıdaki adam", sertifikalardan toplanan bilgilerden sertifikaları yenileyerek.

Eski sertifikalarımın CRL ve OCSP’de olup olmadığını kontrol etmenin bir yolu var mı? Eğer almadılarsa, onları dahil etmenin bir yolu var mı?

GÜNCELLEME: Bu durum zaten sertifikalarımı değiştirdim, sahip olduğum tek şey eski sertifikaların .crt dosyaları. Bu yüzden kontrol etmek için URL'yi kullanmak gerçekten mümkün değil.

Ocsp URL'sini sertifikanızdan alın:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

Sertifikanın iptal edilip edilmediğini kontrol etmek için ocsp sunucusuna bir istek gönderin:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

bu iyi bir cert.

Bu iptal edilmiş bir sertifikadır:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

Certutil'i Windows'ta kullanabilirsiniz:

Bir sertifikanız varsa ve geçerliliğini doğrulamak istiyorsanız, aşağıdaki komutu uygulayın:

certutil -f –urlfetch -verify [FilenameOfCertificate]

Örneğin, kullan

certutil -f –urlfetch -verify mycertificatefile.cer

Kaynak / Daha fazla bilgi: TechNet

Ek olarak, CA'nızı kontrol ettiğinizden emin olun. Sırrını yeniden anahtarladığınız / yenisini aldığınız için, otomatik olarak iptal ettikleri anlamına gelmez!

SSL sertifikalarını sınamak için bu SSLLab hizmetini kullanabilirsiniz, ancak web’den erişilebilir olmaları gerekir. Üstelik daha fazla bilgi bulabilirsin, çünkü bu servis bazı denetim sağlıyor.

Sertifikaları, onları üreten CA aracılığıyla iptal etmiş olsaydınız, OCSP ve CRL'leri yaparlardı.

Bunun böyle olduğundan emin olmak istiyorsanız, lütfen ocsp URL'sini sertifikadan çıkarın ve ardından sertifika seri numarası, ca veren sertifikasını ve ocsp yanıtını almak için bu url'ye bir ocsp isteği oluşturun. Gerçekten iptal edildiğini kontrol etmek ve onaylamak için onu çözümleyin.

Bu faydalı sayfada daha fazla ayrıntı: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

Not: Bu openssl kütüphanesinin kullanılmasını gerektirir.

Düzen 1: OCSP ve CRL hakkında bu cevabın ardından açıkça bilgi eklediğinizi görüyorum.