Child pages
  • Frequently Asked Questions omtrent ingetrokken Digicert EV Certificaten
Skip to end of metadata
Go to start of metadata

Wat ziet een gebruiker als deze een site bezoekt met een ingetrokken certificaat?

Dat hangt af van de gebruikte browser. Open de volgende pagina in verschillende browsers voor een voorbeeld: https://ev-root-revoked.chain-demos.digicert.com/

Hoe kan ik zien of een certificaat is ingetrokken?

Met een browser is dit niet altijd goed te zien.

Door gebruik te maken van de OCSP responder van Digicert weet je het zeker. Bij voorbeeld:

OCSP check
$ echo | openssl s_client -connect avl.nl:443 | openssl x509 -out avl_nl.pem
…
$ curl -s http://cacerts.digicert.com/TERENASSLHighAssuranceCA3.crt | openssl x509 -inform der -out TERENASSLHighAssuranceCA3.pem
$ openssl ocsp -issuer TERENASSLHighAssuranceCA3.pem -cert avl_nl.pem -url http://ocsp.digicert.com -CAfile TERENASSLHighAssuranceCA3.pem -no_nonce
Response verify OK
avl_nl.pem: revoked
	This Update: Jul 14 09:44:59 2020 GMT
	Next Update: Jul 21 08:59:59 2020 GMT
	Revocation Time: Jul 12 05:05:57 2020 GMT

Het certificaat van mijn server is ingetrokken. Toch lijkt er niets aan de hand als ik de site bezoek met een browser.  Hoe kan dat?

Mogelijk heeft jouw browser nog een geldig OCSP response in cache, of maakt jouw server gebruik van OCSP stapling en wordt een geldig OCSP response meegestuurd in de TLS extensies.

Na maximaal een paar dagen zal het OCSP response verlopen en is de revocatie zichtbaar.

Welke certificaten zijn ingetrokken?

De complete lijst met serials staat online: https://bugzilla.mozilla.org/attachment.cgi?id=9163090

Voor ons gaat het om alle certificaten met als issuer https://crt.sh/?caid=1660 ("TERENA SSL High Assurance CA 3").

Hoe kan ik zien of mijn organisatie is getroffen?

Je kunt zoeken in een online database naar certificaten uitgegeven door "TERENA SSL High Assurance CA 3" met de naam van jouw organisatie.

Bij voorbeeld https://crt.sh/?Identity=surf.nl&iCAID=1660&deduplicate=Y

Je kunt de database ook rechtstreeks benaderen middels SQL.

Een voorbeeld:

voorbeeld query
SELECT 
  encode(x509_serialNumber(c.CERTIFICATE), 'hex') SERIAL_NUMBER, 
  c.ID,
  c.ISSUER_CA_ID, 
  x509_subjectName(c.CERTIFICATE) SUBJECT_NAME,
  x509_notAfter(c.CERTIFICATE) NOT_AFTER 
FROM certificate c 
WHERE c.ISSUER_CA_ID = 1660 AND (x509_notAfter(c.CERTIFICATE) > now() ) ;

Deze query kun je uitvoeren middels de PostgrSQL client

PostgrSQL query uitvoeren
psql -h crt.sh -p 5432 -U guest -d certwatch -a -q -f crt.sql --csv -o crt.csv

Hoe check ik de issuer van een certificaat?

Klik op het "slotje" in je browser, of gebruik de command line:

$ echo | openssl s_client -connect avl.nl:443 -servername avl.nl | openssl x509 -noout -issuer
...
issuer=C = NL, ST = Noord-Holland, L = Amsterdam, O = TERENA, CN = TERENA SSL High Assurance CA 3


  • No labels