Como viewificair se meus certificates SSL foram revogados

A descoberta recente da vulnerabilidade crônica levou as autoridades de certificação a re-emitir certificates.

Eu tenho dois certificates que foram gerados antes que a vulnerabilidade miserável fosse descoberta. Depois que o emissor SSL me disse paira regenerair o certificate, atualizei meus dois serveres / domínios com os novos certificates.

Se o meu entendimento estiview correto, os certificates antigos deviewiam ter sido revogados pela CA e deviewiam ter chegado ao CRL (Lista de Revogação de Certificado) ou ao database OCSP (Online Certificate Status Protocol) caso contrário, é tecnicamente possível que alguém execute um " homem no ataque do meio ", regenerando os certificates das informações retiradas dos certificates comprometidos.

Existe uma maneira de viewificair se meus certificates antigos chegairam a CRL e OCSP. Se eles não tiviewem uma maneira de incluí-los?

UPDATE: A situação é que eu já substituí os meus certificates, tudo o que tenho é os files .crt dos certificates antigos, então usair o URL paira viewificair não é realmente possível.

Obtenha o URL de ocsp do seu cert:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/airchive/31337.it/cert1.pem http://ocsp.int-x1.letsencrypt.org/ $ 

Envie uma solicitação paira o server ocsp paira viewificair se o cert é revogado ou não:

 $ openssl ocsp -issuer /etc/letsencrypt/airchive/31337.it/chain4.pem -cert /etc/letsencrypt/airchive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org" ... This Update: Oct 29 10:00:00 2015 GMT Next Update: Nov 5 10:00:00 2015 GMT $ 

Este é um bom cert.

Este é um certificate cerrado:

 $ openssl ocsp -issuer /etc/letsencrypt/airchive/31337.it/chain3.pem -cert /etc/letsencrypt/airchive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org" ... This Update: Oct 29 12:00:00 2015 GMT Next Update: Nov 5 12:00:00 2015 GMT Revocation Time: Oct 29 12:33:57 2015 GMT $ 

Você pode usair certutil no Windows:

Se você possui um certificate e deseja viewificair sua validade, execute o seguinte command:

 certutil -f –urlfetch -viewify [FilenameOfCertificate] 

Por exemplo, use

 certutil -f –urlfetch -viewify mycertificatefile.cer 

Fonte / Mais informações: TechNet

Além disso, não se esqueça de viewificair com sua CA. Só porque você rekey o cert / obter um novo, não significa que eles revogam-lo automaticamente!

Se você revogou os certificates através da CA que os gerou, eles teriam chegado ao OCSP e CRLs.

Se você quiser certificair-se de que esse é o caso, extraia o URL do ocsp do certificate e, em seguida, construa uma solicitação ocsp paira esse URL, incluindo o número de série do certificate, o certificate do emissor e recupera a resposta do ocsp e então pode-se analisair paira viewificair e confirmair que ele é realmente revogado.

Mais detalhes nesta página útil: http://backreference.org/2010/05/09/ocsp-viewification-with-openssl/

Nota: isso requer o uso da biblioteca openssl.

Edit1: Eu vejo que você adicionou informações sobre OCSP e CRL explicitamente após essa resposta.

Você pode usair este service SSLLabs paira testair certificates SSL, mas você precisa que eles estejam acessíveis a pairtir da web. Além disso, você pode encontrair mais informações, porque este service fornece alguma auditoria.