Linux

如何檢查我的 SSL 證書是否已被吊銷

  • October 29, 2015

最近發現的心臟出血漏洞促使證書頒發機構重新頒發證書。

我有兩個在發現 heartbleed 漏洞之前生成的證書。在 SSL 頒發者告訴我重新生成證書後,我已使用新證書更新了我的伺服器/域。

如果我的理解是正確的,那麼舊證書應該已被 CA 吊銷,並且應該已將其添加到 CRL(證書吊銷列表)或 OCSP 數據庫(線上證書狀態協議),否則從技術上講,某人可以執行“中間人攻擊”,通過從受損證書中獲取的資訊重新生成證書。

有沒有辦法檢查我的舊證書是否已進入 CRL 和 OCSP。如果他們沒有,有沒有辦法讓他們包括在內?

更新:情況是我已經替換了我的證書,我所擁有的只是舊證書的 .crt 文件,因此使用 url 進行檢查是不可能的。

從您的證書中獲取 ocsp url:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

向 ocsp 伺服器發送請求以檢查證書是否被撤銷:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
       This Update: Oct 29 10:00:00 2015 GMT
       Next Update: Nov  5 10:00:00 2015 GMT
$

這是一個很好的證書。

這是已撤銷的證書:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
       This Update: Oct 29 12:00:00 2015 GMT
       Next Update: Nov  5 12:00:00 2015 GMT
       Revocation Time: Oct 29 12:33:57 2015 GMT
$

引用自:https://serverfault.com/questions/590504