คำถามติดแท็ก ocsp

การค้นพบช่องโหว่ที่ผ่านมาเร็ว ๆ นี้ได้กระตุ้นให้หน่วยงานออกใบรับรองออกใบรับรองอีกครั้ง ฉันมีสองใบรับรองที่สร้างขึ้นก่อนที่จะค้นพบช่องโหว่ หลังจากผู้ออก SSL บอกให้ฉันสร้างใบรับรองใหม่ฉันได้อัปเดตทั้งเซิร์ฟเวอร์ / โดเมนด้วยใบรับรองใหม่ หากความเข้าใจของฉันถูกต้องแล้วใบรับรองเก่าควรถูกเพิกถอนโดย CA และควรส่งไปที่ CRL (รายการเพิกถอนใบรับรอง) หรือฐานข้อมูล OCSP (โพรโทคอลสถานะสถานะใบรับรองออนไลน์) มิฉะนั้นเป็นไปได้ทางเทคนิคสำหรับบุคคลที่จะดำเนินการ " คนที่อยู่ตรงกลางโจมตี "โดยการสร้างใบรับรองจากข้อมูลที่หยิบมาจากใบรับรองที่ถูกบุกรุก มีวิธีการตรวจสอบว่าใบรับรองเก่าของฉันทำกับ CRL และ OCSP หรือไม่ หากพวกเขาไม่ได้มีวิธีที่จะรวมพวกเขา? อัปเดต: สถานการณ์คือฉันได้แทนที่ใบรับรองทั้งหมดที่ฉันมีแล้วคือไฟล์. crt ของใบรับรองเก่าดังนั้นการใช้ url เพื่อตรวจสอบจึงเป็นไปไม่ได้จริงๆ

23 linux  ssl  heartbleed  crl  ocsp 

คำถามนี้ถูกโยกย้ายจาก Super User เพราะสามารถตอบได้ใน Server Fault อพยพ 9 ปีที่ผ่านมา ฉันกำลังทดสอบฟังก์ชันการเพิกถอนใบรับรองของอุปกรณ์ CMTS สิ่งนี้ต้องการให้ฉันตั้งค่าการตอบกลับ OCSP เนื่องจากมันจะถูกใช้สำหรับการทดสอบเท่านั้นฉันถือว่าการใช้งานที่น้อยที่สุดของ OpenSSL นั้นน่าจะเพียงพอ ฉันดึงใบรับรองจากเคเบิลโมเด็มคัดลอกไปยังพีซีของฉันและแปลงเป็นรูปแบบ PEM ตอนนี้ฉันต้องการลงทะเบียนในฐานข้อมูล OpenSSL OCSP และเริ่มเซิร์ฟเวอร์ ฉันทำตามขั้นตอนเหล่านี้เสร็จแล้ว แต่เมื่อฉันทำคำขอไคลเอนต์เซิร์ฟเวอร์ของฉันจะตอบกลับด้วย "ไม่รู้จัก" อย่างสม่ำเสมอ ดูเหมือนว่าจะไม่รู้ถึงการมีอยู่จริงของใบรับรองของฉัน ฉันจะขอบคุณมากถ้าใครจะเต็มใจที่จะดูรหัสของฉัน เพื่อความสะดวกของคุณฉันได้สร้างสคริปต์เดียวซึ่งประกอบด้วยรายการลำดับของคำสั่งที่ใช้ทั้งหมดตั้งแต่การตั้งค่า CA จนกระทั่งเริ่มเซิร์ฟเวอร์: http://code.google.com/p/stacked-crooked/source/browse/ ลำต้น / อื่น ๆ / OpenSSL / AllCommands.sh คุณสามารถค้นหาไฟล์ปรับแต่งที่กำหนดเองและใบรับรองที่ฉันกำลังทดสอบด้วย: http://code.google.com/p/stacked-crooked/source/browse/trunk/Misc/OpenSSL/ ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก.

22 openssl  ocsp 

ฉันใหม่ในการตั้งค่า SSL ตั้งแต่เริ่มต้นและทำตามขั้นตอนแรกแล้ว ฉันซื้อใบรับรอง SSL จาก RapidSSL สำหรับโดเมนของฉันและทำตามขั้นตอนเพื่อติดตั้งใบรับรอง โดยทั่วไปใบรับรองนั้นใช้ได้และทำงานบนเว็บเซิร์ฟเวอร์ของฉัน (nginx v1.4.6 - Ubuntu 14.04.1 LTS) แต่ถ้าฉันพยายามเปิดใช้งาน OCSP OCSP ฉันได้รับข้อผิดพลาดต่อไปนี้ในข้อผิดพลาด nginx ของฉัน: OCSP_basic_verify () ล้มเหลว (SSL: ข้อผิดพลาด: 27069065: รูทีน OCSP: OCSP_basic_verify: ข้อผิดพลาดการตรวจสอบใบรับรอง: ตรวจสอบข้อผิดพลาด: ตรวจสอบข้อผิดพลาด: ไม่สามารถรับใบรับรองผู้ออกท้องถิ่น) ในขณะที่ขอสถานะใบรับรองตอบกลับ: gv.symcd.com ฉันลองด้วยคำสั่งนี้จากบรรทัดคำสั่ง: openssl s_client -connect mydomain.tld: 443 2> & 1 </ dev / null และได้รับข้อผิดพลาด …

17 nginx  ssl-certificate  ubuntu-14.04  ocsp 

ใครสามารถแนะนำเซิร์ฟเวอร์ OCSP ฟรีและง่ายสำหรับ Windows หรือ Linux

14 security  certificate  ocsp 

กำลังพยายามตั้งค่ารูทีนการตรวจสอบ OCSP และต้องการให้คุ้นเคยกับสภาพแวดล้อมเป็นอันดับแรก พบบทเรียนที่ดีเยี่ยมเช่นOpenSSL: ด้วยตนเองตรวจสอบใบรับรองกับ OCSP มีคำถามหลายข้อเกิดขึ้นดังนั้นโปรดอดทนกับฉัน มีการเปลี่ยนแปลงบางอย่างตั้งแต่กวดวิชานั้น แต่ฉันคิดว่าส่วนสำคัญคือ: 1) ขัดขวางใบรับรองที่คุณต้องการตรวจสอบเช่น openssl s_client -connect wikipedia.org:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > wikipedia.pem 2) สร้างห่วงโซ่ใบรับรองเช่น openssl s_client -connect wikipedia.org:443 -showcerts 2>&1 < /dev/null > chain.pem จากนั้นแก้ไขอย่างเหมาะสม ฉันพบว่าข้างต้นไม่ได้จัดเตรียมใบรับรอง CA ที่ลงนามเองด้วยตนเอง GlobalSignRootCA ดังนั้นจึงเพิ่มเข้ามา 3) กำหนด ocsp URI เช่น openssl x509 -noout …

13 openssl  x509  ocsp 

เนื่องจากฉันต้องการตั้งค่าแอตทริบิวต์ "ต้องเย็บเล่ม" ในใบรับรอง SSL ของฉันฉันจึงทำการวิจัยเพื่อค้นหาว่าบริการทั้งหมดของฉันรองรับการเย็บเล่ม OCSP หรือไม่ จนถึงตอนนี้ฉันพบแล้วว่า Apache ทำสิ่งที่ฉันสามารถยืนยันได้โดยใช้ SSLLabs.com แต่นอกเหนือจากนั้นฉันไม่สามารถยืนยันได้หากบริการอื่น ๆ ของฉัน (SMTP และ IMAP) รองรับการเย็บเล่ม OCSP ด้วย ตอนนี้คำถามของฉันคือ Postfix และ Dovecot รองรับหรือไม่ PS: ฉันรู้ว่าใบรับรองดูเหมือนจะไม่สำคัญเมื่อมาถึงการขนส่งทางไปรษณีย์ แต่ฉันต้องการหลีกเลี่ยงปัญหาใด ๆ ที่เป็นไปได้ถ้าฉันเพิ่มคุณลักษณะและลูกค้าอาจปฏิเสธที่จะทำงานเพราะสิ่งนั้นในขณะที่คนอื่น ๆ สามารถทำได้ ได้ประโยชน์จากมัน

10 ssl  postfix  dovecot  ocsp