タグ付けされた質問 「crl」

ハートブリードの脆弱性の最近の発見により、認証局は証明書を再発行するようになりました。 heartbleed脆弱性が発見される前に生成された2つの証明書があります。SSL発行者から証明書を再生成するように指示された後、サーバー/ドメインの両方を新しい証明書で更新しました。 私の理解が正しい場合、古い証明書はCAによって失効され、CRL（証明書失効リスト）またはOCSPデータベース（オンライン証明書ステータスプロトコル）に到達する必要があります。そうでない場合、誰かが「侵害された証明書から取得した情報から証明書を再生成することにより、中間者攻撃。 古い証明書がCRLとOCSPに到達したかどうかを確認する方法はありますか。それらが含まれていない場合、それらを含める方法はありますか？ 更新：状況は、既に証明書を置き換えていることです。古い証明書の.crtファイルのみであるため、URLを使用して確認することは実際には不可能です。

23 linux  ssl  heartbleed  crl  ocsp 

マスターCRLリストを探しています。私が見つけた最も近いものは、ChromiumプロジェクトのCRLSetsです。crlset-toolsを使用してcrlset（crlset fetch > crl-set）を取得し、シリアル番号をダンプ（crlset dump crl-set）したため、次のように表示されます。 f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc 03fb3b4d35074e 03fbf94a0e6c39 04097214d6c97c 0442c6b3face55 .... すべての不正なシリアルのマスターリストを含むCRLファイルをopensslまたはcurl（opensslを使用）に渡すことができます。たとえば、verisignのcrlを渡すだけでなく、すべてを渡す必要があります。これをcrlsetで実行できると考えましたが、この形式には互換性がないと思います。試しましたopenssl crl -inform DER -text -in crl-setが、それは言います： unable to load CRL 5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c: 1319: 5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta sn_dec.c:381:Type=X509_CRL 誰かが私が話していることを行う方法や、これを行う創造的な方法についてのアイデアをお持ちの場合は、お知らせください。ありがとう

12 openssl  curl  google-chrome  crl