Ví dụ về trang web trực tiếp với chứng chỉ tin cậy, đã ký nhưng bị thu hồi?

7

Tôi đang soạn thảo một số tài liệu cho người dùng với mục đích giáo dục họ về việc thu hồi chứng chỉ. Tôi muốn bao gồm ảnh chụp màn hình của trình duyệt để thể hiện trải nghiệm người dùng khi gặp chứng chỉ bị thu hồi. Việc thu hồi có thể xảy ra thông qua OCSP hoặc CRL.

Tôi đã thử đào xung quanh CRL, nhưng họ liệt kê số sê-ri của chứng chỉ và không cung cấp URL để tôi thử kết nối.

Ai đó có thể cung cấp một URL đến một trang web trực tiếp với một chứng chỉ không tự ký nhưng bị thu hồi không? Hoặc có lẽ có một cách để tìm kiếm certs trong CRL và tham chiếu chéo chúng đến một URL?

security-certificate 
flumignan
nguồn

Câu trả lời:

2

Chứng chỉ bị thu hồi của Mozilla Addons và các keyfiles tương ứng của nó có sẵn trong tự nhiên. Vì vậy, bạn có thể tự kiểm tra nó. Đối với thử nghiệm này, bạn cần trỏ addons.mozilla.orgtên miền đến địa chỉ IP của máy chủ thử nghiệm của bạn.

Tệp khóa riêng dài 27 dòng và có thể tìm thấy tại http://erratasec.blogspot.com/2011/03/verifying-comodo-hackers-key.html . Giấy chứng nhận có thể được tải xuống từ http://www.multiupload.com/J9I8NFWPT0.

Nếu bạn đang chạy một máy chủ trên máy cục bộ của mình (localhost), hãy thay đổi tệp máy chủ, vì vậy hãy addons.mozilla.orgtrỏ đến 127.0.0.1. Sử dụng các tệp khóa và chứng chỉ ở trên cho máy chủ của bạn.

Hướng dẫn sử dụng openssllệnh trên Ubuntu / Linux:

  1. Đặt keyfile vào moz.pemvà chứng chỉ trong moz.crt.
  2. Thêm 127.0.0.1 addons.mozilla.orgvào/etc/hosts

  3. Khởi động máy chủ HTTPS bằng openssl s_serverlệnh:

    sudo openssl s_server -cert moz.crt -key moz.pem -accept 443 -www
  4. Chuyển đến trình duyệt của bạn và chụp ảnh màn hình, sao chép văn bản, v.v.
  5. Khi hoàn tất, loại bỏ các mục từ /etc/hosts.

Có thể tìm thấy tập lệnh shell Linux (đã kiểm tra) tại http://pastebin.com/DRE32SFR . Tải xuống và thực thi nó dưới quyền root (cần thiết để liên kết với cổng 443 và chỉnh sửa /etc/hosts)

Các ảnh chụp màn hình tiếp theo bên dưới được chụp trên Ubuntu 10.10 trong Mozilla Firefox (không có bản vá) theo hướng dẫn ở trên.

Firefox với CRL được kích hoạt đưa ra cảnh báo: Firefox từ chối chứng chỉ bằng CRL

Mở Firefox với kiểm tra CRL bị vô hiệu hóa để mô phỏng máy chủ CRL không thể truy cập sẽ mở trang mà không cần thở hổn hển: Firefox mở trang thành công mà không có thông báo lỗi

Lekensteyn
nguồn
0

Tôi vừa thử đăng nhập vào trang web này cho một công ty bảo hiểm lớn, hợp pháp của Anh và chứng chỉ của họ không hợp lệ:

http://www.axa.co.uk/insurance/myaxaspace (12:02 GMT, ngày 10 tháng 4 năm 2011)

Firefox nói rằng chứng chỉ " không đáng tin cậy vì không có chuỗi nhà phát hành nào được cung cấp ", nhưng tôi không chắc đây có phải là thứ bạn đang theo đuổi không.

ajcw
nguồn
Điều này dường như đã được sửa chữa ngay bây giờ.
ajcw
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.