Come posso verificare se un sito web ha revocato le sue vecchie chiavi del certificato SSL? [duplicare]

8

Attraverso la lettura da più fonti e guardando Sicurezza ora Come gli Heartbleeds , sono venuto per capire che la seguente procedura è raccomandata per essere al sicuro dalla vulnerabilità Heartbleed (presupponendo che il browser dell'utente reagisca correttamente ai certificati TLS revocati, cosa che potrebbe non essere il caso per tutti i browser al momento, ma lasciamo questo problema da parte per il momento):

  1. Esegui l'upgrade a una versione con patch di openssl
  2. Rigenera il certificato TLS ( rekey )
  3. Revoca del certificato precedente

Effettuare i passaggi precedenti:

  • Previene lo sfruttamento della vulnerabilità Heartbleed per rubare la nuova chiave (a causa di 1. e 2.)
  • Proteggi gli utenti dagli attacchi Man in the Middle utilizzando una chiave rubata (a causa di 3.)

Ora, so che ci sono diversi strumenti per vedere se un sito web è al momento non sicuro (1. non aggiornato) o potenzialmente vulnerabile (2 non rekey) , ma come faccio a sapere se un sito web ha revocato i suoi certificati precedenti?

Credo di poter controllare una chiave specifica (se è noto) utilizzando strumenti (che presumo utilizzino OCSP o CRL), ma c'è un modo per accedere alle chiavi precedenti di un sito web?

È puramente per curiosità, ma vorrei verificare quando un sito web dice "we are safe now" che ha davvero revocato i loro certificati così come aggiornare openssl e rigenerare le chiavi.

Grazie molte per il vostro prezioso tempo e perdonate i potenziali errori causati dalla mia mancanza di conoscenza nel campo della sicurezza delle informazioni.

    
posta Jesse Emond 16.04.2014 - 02:47
fonte

1 risposta

6

Trovo utile la domanda, perché in realtà è difficile scoprire se un certificato è stato revocato nel modo giusto.

  • Se sai chi ha rilasciato il certificato originale, puoi scaricare i CRL (che contengono solo i numeri di serie e la data di revoca, non il certificato revocato stesso). Se no, sei sfortunato.
  • Se conosci il numero di serie del vecchio certificato, puoi verificare se è presente nell'elenco CRL. Se non si conosce il numero di serie originale, non è possibile controllare la revoca.
  • Se hai scoperto che il certificato è stato revocato, non sai ancora se il proprietario sta riutilizzando la sua vecchia coppia di chiavi pubblica / privata compromessa con il nuovo certificato. Senza avere il vecchio certificato non lo saprai mai.

Quindi la cosa migliore sarebbe se il proprietario rendesse accessibile il vecchio certificato (ma non la chiave privata), in modo che altri possano verificare la correttezza della verifica.

Alla fine mostra di nuovo che l'attuale architettura PKI e non solo le implementazioni TLS sono interrotte. Ti sei mai chiesto perché le nuove versioni del browser sono state spedite su tutti i principali problemi di CA (DigiNotar + Comodo 2011, IGC / A 2013)? Perché la revoca come progettata in origine non funziona correttamente.

    
risposta data 16.04.2014 - 08:11
fonte

Leggi altre domande sui tag