Quali strumenti esistono per aiutarmi a monitorare gli errori di convalida dei certificati OCSP?

6

La discussione su Perché OCSP non è richiesto per impostazione predefinita nei browser? rileva che per impostazione predefinita molti browser ignorano semplicemente l'errore per verificare lo stato di revoca dei certificati TLS del sito Web tramite il protocollo di stato dei certificati online (OCSP).

Esiste un modo semplice (ad esempio uno strumento) per gli utenti che si preoccupano di esso, o sono solo curiosi, di monitorare le richieste OCSP e rilevare o registrare quando le connessioni falliscono? Per esempio. un'estensione del browser sarebbe utile.

Sono curioso di conoscere tutte le piattaforme e i browser più diffusi.

Aggiornamento : girando un po 'di più ho trovato questa spiegazione del flusso OCSP di base e come farlo passo-passo con openssl: Verifica OCSP con OpenSSL .

----- BEGIN WHINE -----
tornando ai bei tempi prima che HTTP diventasse un coltellino svizzero crudele, dovevo solo catturare tutti i pacchetti per la "porta OCSP". Ma no - OCSP è sovrapposto a HTTP, quindi ho bisogno di qualcosa di più di un semplice strumento basato su pcap: ho bisogno di capire quali URL HTTP sono collegati a OCSP e analizzare più verbosi conversazioni ....
----- END WHINE -----

    
posta nealmcb 23.05.2011 - 20:43
fonte

2 risposte

3

La maggior parte della mia esperienza è stata recentemente con Validatore desktop Tumbleweed (ora Axway?): si collegherà ai browser e funzionerà in modo indipendente con una serie di opzioni di configurazione. Controlla OCSP e fa apparire un avvertimento quando qualcosa di brutto è successo. Penso che puoi configurarlo per negare l'accesso.

Non è l'unico prodotto, solo quello con cui ho lavorato più di recente e più pesantemente. Molti produttori di server OCSP hanno un'offerta lato client, poiché è solo l'altra metà dell'equazione. Temo di non sapere di quelli gratuiti.

    
risposta data 23.05.2011 - 21:48
fonte
2

Qualcosa che ho inventato proprio ora: Ha bisogno di un po 'di messa a punto, ma può funzionare per test rapidi (attenzione, l'output non è molto carino!)

sudo tshark -i eth1 -f "tcp port http" -R "ocsp.responses || ocsp.Request" -V -T text 

Ciò che fa è che guarda eth1 (la mia interfaccia internet) per pacchetti http, li ottiene, filtri quelli che hanno ocsp-response o ocsp-request di tipo content e stampa il pacchetto decodificato , così si può vedere cosa sta succedendo.

Ha bisogno di una regolazione fine perché visualizza informazioni sui campi di intestazione ip e tcp e dettaglia tutti i campi di risposta ocsp nel maggior numero possibile di dettagli.

Gli stessi filtri possono essere applicati a wireshark per un output più carino.

    
risposta data 24.05.2011 - 02:47
fonte

Leggi altre domande sui tag