আমার এসএসএল শংসাপত্রগুলি বাতিল করা হয়েছে কিনা তা আমি কীভাবে চেক করব

হৃদরোগযুক্ত দুর্বলতার সাম্প্রতিক আবিষ্কার শংসাপত্র কর্তৃপক্ষকে শংসাপত্রগুলি পুনরায় ইস্যু করতে প্ররোচিত করেছে।

আমার কাছে দুটি শংসাপত্র রয়েছে যা হৃদরোগযুক্ত দুর্বলতা আবিষ্কার করার আগে তৈরি হয়েছিল। এসএসএল ইস্যুকারী আমাকে শংসাপত্রটি পুনরায় তৈরি করতে বলার পরে আমি নতুন সার্টিফিকেট দিয়ে আমার সার্ভার / ডোমেন উভয় আপডেট করেছি।

যদি আমার বোঝাপড়াটি সঠিক হয় তবে পুরানো শংসাপত্রগুলি সিএ দ্বারা বাতিল করা উচিত ছিল এবং এটি সিআরএল (শংসাপত্র প্রত্যাহার তালিকা) বা ওসিএসপি ডাটাবেসে (অনলাইন শংসাপত্রের স্থিতি প্রোটোকল) তৈরি করা উচিত ছিল অন্যথায় কারও পক্ষে এটি সম্পাদন করা প্রযুক্তিগতভাবে সম্ভব " মিডল অ্যাটাকের লোক "আপোসযুক্ত শংসাপত্রগুলি থেকে নেওয়া তথ্য থেকে শংসাপত্রগুলি পুনরায় জেনারেট করে।

আমার পুরানো শংসাপত্রগুলি এটি সিআরএল এবং ওসিএসপিতে তৈরি করেছে কিনা তা দেখার কোনও উপায় আছে? তাদের যদি অন্তর্ভুক্ত করার কোনও উপায় না থাকে?

আপডেট: পরিস্থিতিটি হ'ল আমি ইতিমধ্যে আমার শংসাপত্রগুলি প্রতিস্থাপন করেছি আমার পুরানো শংসাপত্রের .crt ফাইলগুলি তাই ইউআরএল পরীক্ষা করে চেক করা সত্যিই সম্ভব নয়।

আপনার শংসাপত্র থেকে ocsp url পান:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

সার্টিফিকেটটি প্রত্যাহার করা হয়েছে কিনা তা পরীক্ষা করার জন্য ocsp সার্ভারে একটি অনুরোধ প্রেরণ করুন:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

এটি একটি ভাল সার্ট।

এটি প্রত্যাহার করা শংসাপত্র:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

আপনি উইন্ডোজে সার্টিটিল ব্যবহার করতে পারেন:

আপনার যদি শংসাপত্র রয়েছে এবং এর বৈধতা যাচাই করতে চান, নিম্নলিখিত কমান্ডটি সম্পাদন করুন:

certutil -f –urlfetch -verify [FilenameOfCertificate]

উদাহরণস্বরূপ, ব্যবহার করুন

certutil -f –urlfetch -verify mycertificatefile.cer

উত্স / আরও তথ্য: টেকনেট

অতিরিক্ত হিসাবে, আপনার সিএ দিয়ে চেক করতে ভুলবেন না। কেবলমাত্র আপনি শংসাপত্রটি রিকি করেছেন / একটি নতুন পান, তার মানে এই নয় যে তারা স্বয়ংক্রিয়ভাবে এটিকে প্রত্যাহার করে!

এসএসএল শংসাপত্রগুলি পরীক্ষা করার জন্য আপনি এই এসএসএল্যাব পরিষেবাটি ব্যবহার করতে পারেন , তবে ওয়েব থেকে সেগুলি অ্যাক্সেসযোগ্য হওয়া দরকার। তবুও আপনি আরও কিছু তথ্য সন্ধান করতে পারেন, কারণ এই পরিষেবাটি কিছু নিরীক্ষা সরবরাহ করে।

আপনি যদি সিএর মাধ্যমে শংসাপত্রগুলি প্রত্যাহার করে থাকেন যা সেগুলি তৈরি করে থাকে তবে তারা ওসিএসপি এবং সিআরএলগুলিতে এটি তৈরি করতে পারত।

যদি আপনি এটি নিশ্চিত হয়ে যেতে চান তবে দয়া করে শংসাপত্র থেকে ocsp ইউআরএলটি বের করুন এবং তারপরে শংসাপত্রের সিরিয়াল নম্বর, সিএ ইস্যুকারীর সার্টিফিকেট সহ সেই ইউআরএলটিতে একটি অকসপ অনুরোধটি তৈরি করুন এবং অকসপ প্রতিক্রিয়াটি পুনরুদ্ধার করুন এবং তারপরে কেউ একটি এটি পার্স করে দেখুন এবং তা নিশ্চিত হয়ে গেছে যে এটি সত্যই বাতিল হয়েছে।

এই দরকারী পৃষ্ঠায় আরও বিশদ: http://backreferences.org/2010/05/09/ocsp-verifications-with-openssl/

দ্রষ্টব্য: এর জন্য ওপেনসেল লাইব্রেরির ব্যবহার প্রয়োজন।

সম্পাদনা 1: আমি দেখতে পাচ্ছি যে আপনি এই উত্তরের পরে স্পষ্টভাবে ওসিএসপি এবং সিআরএল সম্পর্কিত তথ্য যুক্ত করেছেন।