OCSP dotaz pomocí OpenSSL

Zjistit za pomoci OpenSSL, zda byl SSL/TLS certifikát revokován (zneplatněn), je velice snadné. Stačí k tomu mít k dispozici dva soubory (serverový SSL/TLS certifikát a intermediate certifikát) a dva příkazy.

V tomto dokumentu předpokládáme, že:

  • serverový SSL/TLS certifikát máme v souboru ServerCertificate.crt
  • a intermediate certifikát máme v souboru IntermediateCA.crt

Nejprve zjistíme adresu OCSP serveru certifikační autority. Tuto hodnotu zjistíme přímo z SSL/TLS certifikátu:

openssl x509 -noout -ocsp_uri -in ServerCertificate.crt

Odpověď může vypadat následovně:

http://status.geotrust.com

Tuto adresu použijeme pro dotaz na OCSP server.

Nyní odešleme dotaz OCSP serveru, zda SSL/TLS certifikát byl či nebyl revokován:

openssl ocsp -issuer IntermediateCA.crt -cert ServerCertificate.crt -text -url http://status.geotrust.com -header "HOST" "status.geotrust.com"

Výstup tohoto příkazu může být poměrně obsáhlý, ovšem pro nás je důležitý řádek Revocation Time - pokud tam uveden je, nebo pokud je v odpovědi Cert Status: revoked, pak byl tento SSL/TLS certifikát revokován.

Naopak, pokud v odpovědi hodnota Revocation Time není, nebo je-li v odpovědi hodnota Cert Status jiná (zpravidla good), předpokládáme, že certifikát zneplatněn nebyl.

V některých případech může OCSP server uvést i důvod zneplatnění SSL/TLS certifikátu.

Možné situace

OCSP Responder může být z různých důvodů dočasně nedostupný. V takovém případě záleží na implementaci pravidel konkrétního systému či aplikace, jak bude dále postupovat. Zpravidla jsou to dva scénáře:

  1. Soft fail

    Nejčastější implementace, při níž se předpokládá, že pokud OCSP server neodpoví, že byl certifikát zneplatněn, pak se certifikát považuje za platný.

  2. Hard fail

    S touto implementací se nejčastěji setkáme v prostředí s velmi přísnými požadavky na zabezpečení. Pakliže OCSP server nepotvrdí, že certifikát nebyl revokován (včetně situace, kdy je OCSP server nedostupný), spojení je přerušeno.

Instalace SSL ověření test

SSL Tester

Zda byl revokován SSL/TLS certifikát, který je již nainstalován na serveru, můžete zjistit pomocí nástroje SSL Tester:

Test instalace SSL →

Může Vás zajímat…

SSL/TLS certifikáty

AlpiroSSL

  • Nejlevnější SSL
  • Vystavení 1-5 min
  • Certificate Transparency
  • Záruka 10,000 Kč
  • Již za 169 Kč

Multidoménové možnosti:

AlpiroSSL Wildcard

  • Nejlevnější Wildcard SSL
  • Zabezpečí
    ∞ subdomén
  • Vystavení 1-5 min
  • Certificate Transparency
  • Záruka 10,000 Kč
  • Již za 1 190 Kč

Multidoménové možnosti:

SSL certifikát / 169 Kč

Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.

EV SSL certifikáty

Chraňte svou reputaci a zajistěte maximální důvěryhodnost s TLS/SSL certifikátem s EV.

Multidoménové (SAN)

Skonsolidujte všechny své SSL certifikáty do jednoho multi-doménového SSL certifikátu!

Uživatel SSL Přihlášení

Zavřít

Přejít k registraci

Zavřít
Zavřít
Zavřít
Doporučené SSL certifikáty
Zavřít
Máte dotaz?
Napište nám
Nenašli jste řešení na stránce Podpora a Nejčastější dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
Tato stránka používá soubory cookies. více informací

Souhlasím se všemi Pouze nezbytné