คำถามติดแท็ก ocsp

4
ฉันจะตรวจสอบได้อย่างไรว่าใบรับรอง SSL ของฉันถูกเพิกถอนแล้ว
การค้นพบช่องโหว่ที่ผ่านมาเร็ว ๆ นี้ได้กระตุ้นให้หน่วยงานออกใบรับรองออกใบรับรองอีกครั้ง ฉันมีสองใบรับรองที่สร้างขึ้นก่อนที่จะค้นพบช่องโหว่ หลังจากผู้ออก SSL บอกให้ฉันสร้างใบรับรองใหม่ฉันได้อัปเดตทั้งเซิร์ฟเวอร์ / โดเมนด้วยใบรับรองใหม่ หากความเข้าใจของฉันถูกต้องแล้วใบรับรองเก่าควรถูกเพิกถอนโดย CA และควรส่งไปที่ CRL (รายการเพิกถอนใบรับรอง) หรือฐานข้อมูล OCSP (โพรโทคอลสถานะสถานะใบรับรองออนไลน์) มิฉะนั้นเป็นไปได้ทางเทคนิคสำหรับบุคคลที่จะดำเนินการ " คนที่อยู่ตรงกลางโจมตี "โดยการสร้างใบรับรองจากข้อมูลที่หยิบมาจากใบรับรองที่ถูกบุกรุก มีวิธีการตรวจสอบว่าใบรับรองเก่าของฉันทำกับ CRL และ OCSP หรือไม่ หากพวกเขาไม่ได้มีวิธีที่จะรวมพวกเขา? อัปเดต: สถานการณ์คือฉันได้แทนที่ใบรับรองทั้งหมดที่ฉันมีแล้วคือไฟล์. crt ของใบรับรองเก่าดังนั้นการใช้ url เพื่อตรวจสอบจึงเป็นไปไม่ได้จริงๆ
23 linux  ssl  heartbleed  crl  ocsp 

1
OpenSSL: วิธีการตั้งค่าเซิร์ฟเวอร์ OCSP สำหรับตรวจสอบใบรับรองบุคคลที่สาม?
คำถามนี้ถูกโยกย้ายจาก Super User เพราะสามารถตอบได้ใน Server Fault อพยพ 9 ปีที่ผ่านมา ฉันกำลังทดสอบฟังก์ชันการเพิกถอนใบรับรองของอุปกรณ์ CMTS สิ่งนี้ต้องการให้ฉันตั้งค่าการตอบกลับ OCSP เนื่องจากมันจะถูกใช้สำหรับการทดสอบเท่านั้นฉันถือว่าการใช้งานที่น้อยที่สุดของ OpenSSL นั้นน่าจะเพียงพอ ฉันดึงใบรับรองจากเคเบิลโมเด็มคัดลอกไปยังพีซีของฉันและแปลงเป็นรูปแบบ PEM ตอนนี้ฉันต้องการลงทะเบียนในฐานข้อมูล OpenSSL OCSP และเริ่มเซิร์ฟเวอร์ ฉันทำตามขั้นตอนเหล่านี้เสร็จแล้ว แต่เมื่อฉันทำคำขอไคลเอนต์เซิร์ฟเวอร์ของฉันจะตอบกลับด้วย "ไม่รู้จัก" อย่างสม่ำเสมอ ดูเหมือนว่าจะไม่รู้ถึงการมีอยู่จริงของใบรับรองของฉัน ฉันจะขอบคุณมากถ้าใครจะเต็มใจที่จะดูรหัสของฉัน เพื่อความสะดวกของคุณฉันได้สร้างสคริปต์เดียวซึ่งประกอบด้วยรายการลำดับของคำสั่งที่ใช้ทั้งหมดตั้งแต่การตั้งค่า CA จนกระทั่งเริ่มเซิร์ฟเวอร์: http://code.google.com/p/stacked-crooked/source/browse/ ลำต้น / อื่น ๆ / OpenSSL / AllCommands.sh คุณสามารถค้นหาไฟล์ปรับแต่งที่กำหนดเองและใบรับรองที่ฉันกำลังทดสอบด้วย: http://code.google.com/p/stacked-crooked/source/browse/trunk/Misc/OpenSSL/ ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก.
22 openssl  ocsp 

2
การตรวจสอบ OCSP - ไม่สามารถรับใบรับรองผู้ออกในท้องถิ่น
ฉันใหม่ในการตั้งค่า SSL ตั้งแต่เริ่มต้นและทำตามขั้นตอนแรกแล้ว ฉันซื้อใบรับรอง SSL จาก RapidSSL สำหรับโดเมนของฉันและทำตามขั้นตอนเพื่อติดตั้งใบรับรอง โดยทั่วไปใบรับรองนั้นใช้ได้และทำงานบนเว็บเซิร์ฟเวอร์ของฉัน (nginx v1.4.6 - Ubuntu 14.04.1 LTS) แต่ถ้าฉันพยายามเปิดใช้งาน OCSP OCSP ฉันได้รับข้อผิดพลาดต่อไปนี้ในข้อผิดพลาด nginx ของฉัน: OCSP_basic_verify () ล้มเหลว (SSL: ข้อผิดพลาด: 27069065: รูทีน OCSP: OCSP_basic_verify: ข้อผิดพลาดการตรวจสอบใบรับรอง: ตรวจสอบข้อผิดพลาด: ตรวจสอบข้อผิดพลาด: ไม่สามารถรับใบรับรองผู้ออกท้องถิ่น) ในขณะที่ขอสถานะใบรับรองตอบกลับ: gv.symcd.com ฉันลองด้วยคำสั่งนี้จากบรรทัดคำสั่ง: openssl s_client -connect mydomain.tld: 443 2> & 1 </ dev / null และได้รับข้อผิดพลาด …


1
ไม่ตอบกลับ OCSP?
กำลังพยายามตั้งค่ารูทีนการตรวจสอบ OCSP และต้องการให้คุ้นเคยกับสภาพแวดล้อมเป็นอันดับแรก พบบทเรียนที่ดีเยี่ยมเช่นOpenSSL: ด้วยตนเองตรวจสอบใบรับรองกับ OCSP มีคำถามหลายข้อเกิดขึ้นดังนั้นโปรดอดทนกับฉัน มีการเปลี่ยนแปลงบางอย่างตั้งแต่กวดวิชานั้น แต่ฉันคิดว่าส่วนสำคัญคือ: 1) ขัดขวางใบรับรองที่คุณต้องการตรวจสอบเช่น openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2) สร้างห่วงโซ่ใบรับรองเช่น openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem จากนั้นแก้ไขอย่างเหมาะสม ฉันพบว่าข้างต้นไม่ได้จัดเตรียมใบรับรอง CA ที่ลงนามเองด้วยตนเอง GlobalSignRootCA ดังนั้นจึงเพิ่มเข้ามา 3) กำหนด ocsp URI เช่น openssl x509 -noout …
13 openssl  x509  ocsp 

1
Postfix และ Dovecot รองรับการเย็บเล่ม OCSP หรือไม่
เนื่องจากฉันต้องการตั้งค่าแอตทริบิวต์ "ต้องเย็บเล่ม" ในใบรับรอง SSL ของฉันฉันจึงทำการวิจัยเพื่อค้นหาว่าบริการทั้งหมดของฉันรองรับการเย็บเล่ม OCSP หรือไม่ จนถึงตอนนี้ฉันพบแล้วว่า Apache ทำสิ่งที่ฉันสามารถยืนยันได้โดยใช้ SSLLabs.com แต่นอกเหนือจากนั้นฉันไม่สามารถยืนยันได้หากบริการอื่น ๆ ของฉัน (SMTP และ IMAP) รองรับการเย็บเล่ม OCSP ด้วย ตอนนี้คำถามของฉันคือ Postfix และ Dovecot รองรับหรือไม่ PS: ฉันรู้ว่าใบรับรองดูเหมือนจะไม่สำคัญเมื่อมาถึงการขนส่งทางไปรษณีย์ แต่ฉันต้องการหลีกเลี่ยงปัญหาใด ๆ ที่เป็นไปได้ถ้าฉันเพิ่มคุณลักษณะและลูกค้าอาจปฏิเสธที่จะทำงานเพราะสิ่งนั้นในขณะที่คนอื่น ๆ สามารถทำได้ ได้ประโยชน์จากมัน
10 ssl  postfix  dovecot  ocsp 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.