Esiste una cache di stato del certificato SSL / TLS su Windows, IE e Outlook e come è gestita?

13

Oggi ho modificato il certificato SSL utilizzato da oltre 3.000 client Outlook. Così facendo ho cambiato il certificato in uno "più vecchio" che aveva lo stesso nome soggetto, scadenza e tutto il resto. È stata modificata solo l'identificazione personale e un nome SAN. Una volta che i rapporti sono arrivati a un problema, ho ripristinato la modifica. (1 ora)

Sembra che nel fare ciò siano appese diverse istanze di Outlook appese, e nonostante i miei 15 anni di lavoro con Outlook in una capacità di supporto, non sono riuscito a recuperare il profilo e ho dovuto ricrearlo. (Non voglio ripetere questo processo per i restanti 20+ profili)

Posso solo supporre che esista una cache SSL in Windows, Outlook o nella sua dipendenza da IE.

Questo mi porta alla mia domanda:

  • Quali dati SSL esistono nel pulsante dello stato SSL di IE? Si tratta di una cache di dati HTTP web o di certificati?

  • Esiste una cache SSL per applicazione e / o globale? (ad esempio, schannel, ecc.)

  • Come posso modificare o gestire questa cache?

Ecco un'immagine dell'editor SSL in IE (vedi "Cancella stato SSL")

Aggiornamento:

Ancheseilcertificatoècorrettamenteformato,deselezionandolaseguentecaselladitestonellaconfigurazionediOutlooksembracorreggereilproblema

    
posta random65537 07.08.2013 - 01:33
fonte

2 risposte

5

Il pulsante 'Cancella stato SSL' è lì per eliminare la cache SSL dei certificati client selezionati utilizzati per l'autenticazione con SSL servizi basati su È solo lì per rendere più veloci i certificati client (in parte ricordando quale certificato hai usato per autenticare un determinato sito). Non memorizza i certificati SSL visti in precedenza.

Outlook + Exchange può utilizzare i certificati client per l'autenticazione, ma non è una configurazione comune; la maggior parte dei siti rimane con NTLM o Kerberos su SSL.

Outlook + IMAP non può usare certificati client, ma potrei sbagliarmi; Non ho sentito di un'istanza in cui vengono utilizzati.

Ciò che potresti incontrare sono i problemi con il validatore SSL di Windows.

    
risposta data 07.08.2013 - 13:23
fonte
4

Normalmente, la gestione SSL è per processo. La DLL di implementazione SSL, ad esempio, ricorderà le sessioni SSL SSL e sarà in grado di negoziare strette di mano abbreviate (ovvero quando un client si riconnette a un server e accetta di riutilizzare il segreto condiviso simmetrico stabilito in un precedente connessione). Internet Explorer ora ha l'abitudine di generare diversi processi, ma include alcuni trucchi per condividere le informazioni sulla sessione SSL attraverso questo processo. Tutto questo scompare quando tutti i processi di IE sono chiusi, però.

Ciò che rimane nella cache sono i CRL. Quando Windows vuole convalidare un certificato (ad esempio un certificato del server), cercherà di ottenere le informazioni di revoca, quindi le risposte CRL o OCSP, scaricate dall'URL che si trovano nei certificati stessi. Windows memorizzerà nella cache il CRL e si tratta di una cache su disco perché resiste ai riavvii. Windows memorizzerà anche il CRL "negativo", cioè gli errori per ottenere un CRL da un dato URL. Se Windows non è in grado di ottenere un CRL da un URL specifico, può astenersi dal provare nuovamente lo stesso URL per un massimo di otto ore e persino un riavvio potrebbe non essere sufficiente per sbloccarlo. Questo è spesso fastidioso.

Analogamente alla cache CRL, Windows può anche scaricare certificati CA intermedi, utilizzando l'URL dei certificati (l'estensione Authority Information Access ). Questi certificati CA possono anche essere memorizzati nella cache, anche se non appaiono necessariamente negli archivi certificati (come visibile da certmgr.msc ).

Vedi questo post del blog per alcune informazioni sulla cache di CRL di Windows.

Quando si utilizza l'autenticazione del client basata su certificato in un contesto di Active Directory, le cose diventano più complesse, perché:

  • Il client SSL convalida il certificato del server SSL.
  • Il server SSL convalida il certificato del server AD.
  • Il server AD convalida il certificato client SSL.

Tutte e tre le convalide eseguite su macchine distinte, con regole sottilmente distinte e la mappatura dei certificati negli account AD possono fallire in molti modi.

    
risposta data 07.08.2013 - 13:21
fonte

Leggi altre domande sui tag