Wie überprüfe ich, ob meine SSL-Zertifikate widerrufen wurden?

Die kürzliche Entdeckung der Sicherheitsanfälligkeit in Heartbleed hat Zertifizierungsstellen dazu veranlasst, Zertifikate erneut auszustellen.

Ich habe zwei Zertifikate, die generiert wurden, bevor die Heartbleed-Sicherheitsanfälligkeit entdeckt wurde. Nachdem der SSL-Aussteller mich aufgefordert hat, das Zertifikat neu zu generieren, habe ich meine beiden Server / Domänen mit den neuen Zertifikaten aktualisiert.

Wenn mein Verständnis korrekt ist, sollten die alten Zertifikate von der Zertifizierungsstelle gesperrt und in die CRL (Certificate Revocation List) oder die OCSP-Datenbank (Online Certificate Status Protocol) aufgenommen worden sein. man in the middle attack ", indem die Zertifikate aus Informationen wiederhergestellt werden, die aus manipulierten Zertifikaten stammen.

Gibt es eine Möglichkeit zu überprüfen, ob meine alten Zertifikate es zu CRL und OCSP geschafft haben? Wenn nicht, gibt es eine Möglichkeit, sie einzubeziehen?

UPDATE: Die Situation ist, dass ich meine Zertifikate bereits ersetzt habe. Alles, was ich habe, sind die .crt-Dateien der alten Zertifikate. Daher ist es nicht wirklich möglich, die URL zum Überprüfen zu verwenden.

Holen Sie sich die ocsp-URL von Ihrem Zertifikat:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

Senden Sie eine Anfrage an den ocsp-Server, um zu prüfen, ob das Zertifikat widerrufen wurde oder nicht:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

Das ist ein gutes Zertifikat.

Dies ist eine widerrufene Bescheinigung:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

Sie können certutil unter Windows verwenden:

Wenn Sie ein Zertifikat haben und dessen Gültigkeit überprüfen möchten, führen Sie den folgenden Befehl aus:

certutil -f –urlfetch -verify [FilenameOfCertificate]

Verwenden Sie zum Beispiel

certutil -f –urlfetch -verify mycertificatefile.cer

Quelle / Weitere Informationen: TechNet

Wenden Sie sich außerdem an Ihre Zertifizierungsstelle. Nur weil Sie das Zertifikat erneut eingeben / ein neues erhalten, heißt das nicht, dass es automatisch widerrufen wird!

Sie können diesen SSLLabs-Service zum Testen von SSL-Zertifikaten verwenden, diese müssen jedoch über das Web zugänglich sein. Darüber hinaus können Sie weitere Informationen erhalten, da dieser Dienst einige Prüfungen durchführt.

Wenn Sie die Zertifikate über die Zertifizierungsstelle, von der sie generiert wurden, widerrufen haben, haben sie es in OCSP und CRLs geschafft.

Wenn Sie sicherstellen möchten, dass dies der Fall ist, extrahieren Sie bitte die ocsp-URL aus dem Zertifikat und erstellen Sie eine ocsp-Anfrage an diese URL, einschließlich der Seriennummer des Zertifikats, des Zertifikats des Ausstellers und Abrufen der ocsp-Antwort Analysieren Sie es, um zu überprüfen und zu bestätigen, dass es tatsächlich widerrufen wurde.

Weitere Informationen finden Sie auf dieser nützlichen Seite: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

Hinweis: Dies erfordert die Verwendung der openssl-Bibliothek.

Edit1: Ich sehe, dass Sie Informationen zu OCSP und CRL explizit nach dieser Antwort hinzugefügt haben.