X.509証明書の失効理由を判断しますか?

1

私はヒューマン・ライツ・ウォッチに接続しようとしています。ページが読み込まれていないとブラウザは私に多くの情報を与えていません。ブラウザは述べています 「ピアの証明書は失効しました。(エラーコード:sec_error_revoked_certificate)

もっと詳しく知りたいのですが、問題を無視したいのですが、ブラウザで証明書を表示したり、証明書が失効した理由を説明したりすることはできません。

enter image description here

OpenSSLコマンドラインツールから、シマンテックが証明書を発行したと思います(下記参照)。追加中 -crl_check そして -crl_check_all それ以上の情報は提供されません。

理由を特定し、証明書の失効に関する詳細情報を入手するにはどうすればよいですか。 

$ openssl s_client -connect hrw.org:443 -servername hrw.org -tls1 | openssl x509 -text -noout
depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign, Inc. - For authorized use only", CN = VeriSign Class 3 Public Primary Certification Authority - G5
verify error:num=20:unable to get local issuer certificate
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            76:59:2a:47:97:66:58:7a:44:a8:8b:b4:0e:d1:be:02
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Symantec Corporation, OU=Symantec Trust Network, CN=Symantec Class 3 Secure Server CA - G4
        Validity
            Not Before: Mar  5 00:00:00 2015 GMT
            Not After : Mar  5 23:59:59 2019 GMT
        Subject: C=US, ST=New York, L=New York, O=Human Rights Watch, OU=Online, CN=hrw.org
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:e6:ec:72:2e:03:b2:54:5a:dd:2a:78:08:67:bc:
                    5a:e0:6c:c3:6e:20:70:f1:86:c6:de:78:93:15:b4:
                    02:c3:8f:77:98:99:d1:8f:25:4c:27:72:6a:0c:3e:
                    aa:a2:8a:53:10:07:af:4d:9d:be:9c:e6:79:0c:62:
                    50:5a:b2:27:dc:f1:13:a2:9f:16:5f:c3:3e:ad:44:
                    f4:7e:be:81:4a:24:7d:ac:1c:e9:b7:db:47:39:41:
                    41:d5:db:9c:5b:8d:35:07:30:fe:15:70:8e:0d:92:
                    c0:9e:f8:81:b3:00:72:10:42:b0:50:81:98:a4:d7:
                    dd:bb:fe:7d:b4:78:19:bc:ae:77:45:ff:a5:b9:ad:
                    2e:84:46:be:2e:a0:68:f9:b2:22:2e:f1:66:00:d6:
                    13:15:2d:50:7e:59:70:bf:53:67:ff:2c:30:38:fc:
                    c9:01:8d:6d:1a:62:fc:1f:df:02:16:27:3c:e6:c7:
                    7d:d8:68:14:79:99:e7:9c:b6:4d:2d:01:b4:77:3c:
                    44:8e:f9:67:5d:8e:7d:b3:9f:4b:02:ab:4c:53:c2:
                    92:b7:d0:8b:2a:12:68:1e:47:e9:8d:87:f8:a4:4f:
                    b1:d2:ee:0e:2d:3c:cc:19:fd:f5:f1:46:40:c7:54:
                    c4:5e:9b:58:6f:96:53:49:81:4f:0f:a6:0e:64:88:
                    30:59
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Alternative Name: 
                DNS:features.hrw.org, DNS:hrw.org
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://ss.symcb.com/ss.crl

            X509v3 Certificate Policies: 
                Policy: 2.16.840.1.113733.1.7.54
                  CPS: https://d.symcb.com/cps
                  User Notice:
                    Explicit Text: https://d.symcb.com/rpa

            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Authority Key Identifier: 
                keyid:5F:60:CF:61:90:55:DF:84:43:14:8A:60:2A:B2:F5:7A:F4:43:18:EF

            Authority Information Access: 
                OCSP - URI:http://ss.symcd.com
                CA Issuers - URI:http://ss.symcb.com/ss.crt

    Signature Algorithm: sha256WithRSAEncryption
         92:72:97:e5:92:1a:d8:f4:8e:fe:39:4a:8a:f1:ec:73:4f:5f:
         66:f9:27:fe:bf:9e:e9:c7:fa:49:fb:3c:4b:64:5b:2c:d8:e4:
         9c:a2:85:49:03:40:fd:de:a2:37:f1:b9:87:bc:72:23:6d:72:
         b7:a4:79:99:d0:79:e8:1d:20:6a:cc:bf:88:59:55:26:77:22:
         8c:c9:54:81:44:c9:d4:13:2c:3f:e4:2c:f5:9a:5e:51:e2:fe:
         a4:a0:28:d1:cd:71:b8:04:72:6a:26:b2:41:f8:c5:13:9f:82:
         72:93:ae:fc:11:0a:fd:38:2c:ef:64:64:e8:51:68:a8:1d:d4:
         3e:9e:56:60:55:26:6c:ff:a5:27:46:01:89:57:ab:50:7b:27:
         cc:20:04:9f:c9:2c:6e:ff:7a:fd:23:e6:d4:bb:ab:3a:d6:19:
         12:5b:0e:35:b3:f0:59:fd:3e:53:62:f7:6e:bf:a3:af:51:74:
         fb:95:a1:0e:04:a6:ff:42:0a:57:4d:50:62:30:05:26:57:0b:
         ae:4e:44:78:45:8b:1a:4b:dc:a8:32:02:19:0f:04:e9:1f:85:
         89:a2:16:fb:3f:2f:82:85:c4:c6:18:8c:19:0e:4f:13:d2:98:
         ff:2b:c2:08:c8:a0:3b:76:0d:19:48:f6:a3:f7:fc:78:5c:4e:
         63:48:83:29
ssl  certificate 
jww
ソース

回答:

2

失効リスト(CRL)またはプロトコル(OCSP)に有用な理由情報はありません。詳細情報のテキスト表現はありませんが、あなたが持っているのは1ビットだけです。

OCSP検証プロセスを詳細に見ると、応答について次の詳細が表示されます。 

 revocationTime: 2015-03-06 15:25:37 (UTC)
 revocationReason: unspecified (0)

証明書が2015-03-05からのみ有効であることを考えると、これは証明書が発行されてから1日後に失効したことを意味します。理由は不明です。

hrw.orgはwww.hrw.orgとは異なるIPアドレスです。 www.hrw.orgは、コンテンツ配信ネットワークの背後にあり、api.weibo.comやさまざまな日本および韓国のドメインなどのサイトと同じ証明書を共有しています。

また、FirefoxではなくChromeブラウザを使用した場合、Chromeは失効確認に独自のメカニズムを使用しているため、このエラーに遭遇することはありませんでした。 CRLsets 重要と見なされる取り消しのみが含まれます:(

ところで、私はこの種の質問がsecurity.stackexchange.comにより適していると思います。

Steffen Ullrich
ソース
ありがとう。どのようにして情報を入手しましたか?それは私が興味を持っているようなものです。私は次のいずれかの理由でこれが私にとって灰色の領域です。または(2)組織を知らないので気にしません。 (1)も(2)も当てはまらない状態です。
jww
1
@jww:OCSPレスポンスを取得するためにパケットキャプチャを行い、細部をwireharkで調べました。そして私はPerlモジュールを使ってOCSPレスポンスをトリガーしました IO ::ソケット:: SSL OCSPルックアップがいつ行われるかをよりよく制御するため。ほとんどのユーザーにとっては絶対に不可能な方法です:)
Steffen Ullrich
ありがとう。私は、情報を取得することになると私は明白な何かを逃していたと思いました。ところで、あなたの調査結果は非常に興味深いものでした。私は見つけた hrw.org グーグル検索を介して、それはグーグルもゲームになったように見えます。それが本当のシマンテックの証明書であれば、シマンテックもゲームを始めました。
jww
私は誰もここで「ゲーム」を受けているのを見ません。 Googleはまた「www」ドメインのみをリストしています。第2レベルのドメインが侵害された場合は、「www」サブドメインも信頼できません。それは単に以前の/実験的な設定の残り物かもしれません。あなたはこの問題についてHRWに連絡することができます。
Daniel B
@DanielB:これも初期の実験の成果物であり、TLSの適切な設定とテストの失敗です。そうでなければ、彼らはそこに約1年前に失効した証明書を残していなかったでしょう。
Steffen Ullrich
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.