Linux
如何檢查我的 SSL 證書是否已被吊銷
最近發現的心臟出血漏洞促使證書頒發機構重新頒發證書。
我有兩個在發現 heartbleed 漏洞之前生成的證書。在 SSL 頒發者告訴我重新生成證書後,我已使用新證書更新了我的伺服器/域。
如果我的理解是正確的,那麼舊證書應該已被 CA 吊銷,並且應該已將其添加到 CRL(證書吊銷列表)或 OCSP 數據庫(線上證書狀態協議),否則從技術上講,某人可以執行“中間人攻擊”,通過從受損證書中獲取的資訊重新生成證書。
有沒有辦法檢查我的舊證書是否已進入 CRL 和 OCSP。如果他們沒有,有沒有辦法讓他們包括在內?
更新:情況是我已經替換了我的證書,我所擁有的只是舊證書的 .crt 文件,因此使用 url 進行檢查是不可能的。
從您的證書中獲取 ocsp url:
$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem http://ocsp.int-x1.letsencrypt.org/ $
向 ocsp 伺服器發送請求以檢查證書是否被撤銷:
$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org" ... This Update: Oct 29 10:00:00 2015 GMT Next Update: Nov 5 10:00:00 2015 GMT $
這是一個很好的證書。
這是已撤銷的證書:
$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org" ... This Update: Oct 29 12:00:00 2015 GMT Next Update: Nov 5 12:00:00 2015 GMT Revocation Time: Oct 29 12:33:57 2015 GMT $