1. Zuhause
  2. Frage und Antwort
  3. Ist es möglich, ein gültiges SSL-Zertifikat zu widerrufen

Ist es möglich, ein gültiges SSL-Zertifikat zu widerrufen

2016-05-31 13 views
1

Unser Client fordert uns auf, eine Liste von internen Java-Projekten zu migrieren, um SSL für potenziell vertrauliche REST-Aufrufe zu verwenden. Sie planen, die Zertifikate intern zu generieren und zu signieren.Ist es möglich, ein gültiges SSL-Zertifikat zu widerrufen

Ich bin besorgt, dass, wenn ein Zertifikat jemals kompromittiert wird, eine Anwendung möglicherweise ihr Zertifikat widerrufen möchte.

Ist es möglich, Zertifikate programmgesteuert zu widerrufen, ohne den Master zu ändern? Es scheint, als ob die Hash-Signatur erst einmal etabliert ist, es gibt keine Möglichkeit, sie zu widerrufen, aber wie machen Agenturen wie Verisign das?

Quelle

2016-05-31 Victor Grazi

+1

Sind alle diese Zertifikate selbstsignierte Zertifikate oder erstellen Sie interne Zertifizierungsstellen und verwenden Sie diese, um die End-Entity-Zertifikate zu signieren? Kennen Sie auch CRLs? https://en.wikipedia.org/wiki/Revocation_list – Rahul

+0

@Rahul Wir erstellen eine interne CA und Master, die zum Generieren und Signieren verwendet werden –

Antwort

1

Die Zertifikate, die als Teil ihrer Informationen wie Widerruf zu überprüfen, in der Regel einer CRL (Certificate Revocation List) oder Online-Service OCSP (Online Certificate Status Protocol)

Ein Zertifizierungsdiensteanbieter ein Zertifikat widerrufen, indem sie unter anderem in die CRL und ihr OCSP-Dienst. Wenn der Kunde will Widerruf eines Zertifikats überprüfen, die CRL herunterzuladen eine OCSP Anfrage

Um das getan zu überprüfen oder durchführt werden könnten, würden Sie brauchen: 1) einen OCSP-Service und/oder CRL 2) In der selbst erstelltes Zertifikat die URL zu OCSP/CRL. 3) Entziehen Sie Zertifikate, die diese enthalten, in der Liste Ihres Widerrufsdienstes

Zum Beispiel ist der Browser für sichere HTTPS-Websites für die Durchführung der Sperrprüfung zuständig. Deshalb jedoch Google decided in 2012 to default Chrome not to check for certificate revocation on non-EV certificates

, beachten Sie, dass die Kontrolle über den Widerruf Kundenverantwortung und könnte nicht

Quelle

2016-06-01 07:29:00 pedrofb

1

ein Zertifikat widerrufen, ohne dass die Zertifizierungsstelle zu löschen, die signiert das Zertifikat ist eine der Grundlagen der Arbeit mit Zertifikaten.

Wie oben erläutert, gibt es zwei Möglichkeiten, um zu überprüfen, ob ein Zertifikat widerrufen wird: durch Überprüfen mit einem dedizierten Server (OCSP) oder durch Überprüfen einer statischen Datei, die Sie so oft herunterladen (CRL).

Sie können einen Test-OCSP-Server einfach mit openssl einrichten. Und Sie können auch eine CRL-Datei mit openssl erzeugen. Eine CRL-Datei sieht ein bisschen wie ein Zertifikat oder eine CSR (normalerweise in der Basis 64 gehalten). Sie können hier einen Online-CRL-Decoder verwenden: http://developerutils.com/CRLDecoder.php

Quelle

2016-06-01 08:14:13 Ravivm

Verwandte Themen

 Verwandte Themen