Come posso verificare se i miei certificati SSL sono stati revocati

La recente scoperta della vulnerabilità del cuore ha spinto le autorità di certificazione a emettere nuovamente i certificati.

Ho due certificati che sono stati generati prima che venisse scoperta la vulnerabilità del cuore. Dopo che l'emittente SSL mi ha detto di rigenerare il certificato, ho aggiornato entrambi i miei server / domini con i nuovi certificati.

Se la mia comprensione è corretta, i vecchi certificati avrebbero dovuto essere revocati dalla CA e dovrebbero essere passati al CRL (Elenco di revoche di certificati) o al database OCSP (Protocollo di stato dei certificati online), altrimenti è tecnicamente possibile che qualcuno esegua un " man in the middle attack "rigenerando i certificati dalle informazioni raccolte da certificati compromessi.

C'è un modo per verificare se i miei vecchi certificati sono arrivati ​​a CRL e OCSP. Se non lo sono c'è un modo per includerli?

AGGIORNAMENTO: La situazione è che ho già sostituito i miei certificati, tutto quello che ho sono i file .crt dei vecchi certificati, quindi usare l'URL per controllare non è davvero possibile.

Ottieni l'URL ocsp dal tuo certificato:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

Invia una richiesta al server ocsp per verificare se il certificato è stato revocato o meno:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

questo è un buon certificato.

Questo è un certificato revocato:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

Puoi usare certutil su Windows:

Se si dispone di un certificato e si desidera verificarne la validità, eseguire il comando seguente:

certutil -f –urlfetch -verify [FilenameOfCertificate]

Ad esempio, utilizzare

certutil -f –urlfetch -verify mycertificatefile.cer

Fonte / Ulteriori informazioni: TechNet

Inoltre, assicurati di verificare con la tua CA. Solo perché rekey il certificato / ne ottieni uno nuovo, non significa che lo revochino automaticamente!

È possibile utilizzare questo servizio SSLLabs per testare i certificati SSL, ma è necessario che siano accessibili dal web. Inoltre è possibile trovare ulteriori informazioni, poiché questo servizio fornisce alcune verifiche.

Se i certificati sono stati revocati tramite la CA che li ha generati, li avrebbero convertiti in OCSP e CRL.

Se desideri assicurarti che sia così, allora estrai l'URL ocsp dal certificato e quindi costruisci una richiesta ocsp a quell'URL includendo il numero di serie del certificato, l'autorità di certificazione richieda e recuperi la risposta ocsp e quindi si potrebbe analizzarlo per verificare e confermare che è effettivamente revocato.

Maggiori dettagli in questa utile pagina: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

Nota: questo richiede l'uso della libreria openssl.

Edit1: Vedo che hai aggiunto informazioni su OCSP e CRL esplicitamente dopo questa risposta.