คำถามติดแท็ก crl

4
ฉันจะตรวจสอบได้อย่างไรว่าใบรับรอง SSL ของฉันถูกเพิกถอนแล้ว
การค้นพบช่องโหว่ที่ผ่านมาเร็ว ๆ นี้ได้กระตุ้นให้หน่วยงานออกใบรับรองออกใบรับรองอีกครั้ง ฉันมีสองใบรับรองที่สร้างขึ้นก่อนที่จะค้นพบช่องโหว่ หลังจากผู้ออก SSL บอกให้ฉันสร้างใบรับรองใหม่ฉันได้อัปเดตทั้งเซิร์ฟเวอร์ / โดเมนด้วยใบรับรองใหม่ หากความเข้าใจของฉันถูกต้องแล้วใบรับรองเก่าควรถูกเพิกถอนโดย CA และควรส่งไปที่ CRL (รายการเพิกถอนใบรับรอง) หรือฐานข้อมูล OCSP (โพรโทคอลสถานะสถานะใบรับรองออนไลน์) มิฉะนั้นเป็นไปได้ทางเทคนิคสำหรับบุคคลที่จะดำเนินการ " คนที่อยู่ตรงกลางโจมตี "โดยการสร้างใบรับรองจากข้อมูลที่หยิบมาจากใบรับรองที่ถูกบุกรุก มีวิธีการตรวจสอบว่าใบรับรองเก่าของฉันทำกับ CRL และ OCSP หรือไม่ หากพวกเขาไม่ได้มีวิธีที่จะรวมพวกเขา? อัปเดต: สถานการณ์คือฉันได้แทนที่ใบรับรองทั้งหมดที่ฉันมีแล้วคือไฟล์. crt ของใบรับรองเก่าดังนั้นการใช้ url เพื่อตรวจสอบจึงเป็นไปไม่ได้จริงๆ
23 linux  ssl  heartbleed  crl  ocsp 

1
วิธีใช้ชุด CRL ของ Chrome (หรือรายการ CRL หลักบางรายการ) เป็นไฟล์ CRL
ฉันกำลังมองหารายการ CRL หลัก สิ่งที่ใกล้เคียงที่ฉันได้พบเป็นโครงการโครเมี่ยมของCRLSets ฉันใช้เครื่องมือ crlsetเพื่อรับ crlset ( crlset fetch > crl-set) จากนั้นทิ้งหมายเลขซีเรียล ( crlset dump crl-set) ดังนั้นฉันจึงเห็นสิ่งนี้: f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc 03fb3b4d35074e 03fbf94a0e6c39 04097214d6c97c 0442c6b3face55 .... ฉันต้องการผ่านไปยัง openssl หรือ curl (ซึ่งใช้ openssl) ไฟล์ CRL ที่มีรายการหลักของ serials ที่ไม่ดีทั้งหมด ตัวอย่างเช่นแทนที่จะส่งผ่าน crl ของ verisign ฉันต้องการทุกอย่างที่ผ่านมาฉันคิดว่าฉันสามารถทำได้ด้วย crlset แต่ฉันไม่คิดว่ารูปแบบเข้ากันได้ ฉันพยายามopenssl crl -inform DER -text -in crl-setแต่มันพูดว่า: unable …
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.