Início / server / Perguntas / 1179323
Accepted
Ryctas
Asked: 2025-04-18 01:27:02 +0800 CST

O certificado expirado ainda aparece como válido no navegador

  • 772

Estou configurando uma CA com OCSP e estou recebendo erros de validação.

Configuração bem simples

  • CA publica CRL na pasta C: padrão
  • CA publica URL OCSP no campo AIA
  • A configuração de revogação do OCSP está funcionando (marca de seleção verde) com o certificado OCSP (ainda válido)
  • O servidor Web IIS está sendo executado com o diretório OCSP
  • DNS aponta para o IP correto com diretório

Revoguei alguns certificados de teste que fiz ao longo do caminho com as seguintes etapas:

  • Publicou manualmente a pasta de revogação
  • definir um GPO que incluísse o certificado raiz com o URL do OCSP para verificar a validade mesmo quando o certificado original não o incluísse no campo AIA

Ao testar a validade, encontrei alguns erros.

Erro 1:

CRL confirma expiração, navegadores de clientes aparecem como válidos

Na imagem acima, a CRL confirmou que o certificado expirou e não é válido.

No entanto, ainda o uso apenas porque ESPERO que dê um erro. Não dá. Consigo acessar o site sem problemas ou aviso de que é inválido.

Erro 2:

OCSP é inacessível

O GPO orientaria os dispositivos clientes a verificar a validação do OCSP em certificados que não o incluíam originalmente. Surpreendentemente, meu OCSP nem está funcionando. Eu costumava certutil -urlconfirmar e recebia o status: sem sucesso. Não consigo encontrar uma lista de possíveis status em lugar nenhum, mas presumo que deveria ver "revogado" ou "expirado", se houver.

ssl-certificate

1 respostas

  1. Best Answer

    a CRL confirmou que o certificado expirou

    Isso não pode ser verdade. Certificados expirados não entram em CRLs; certificados revogados entram – e somente até expirarem. Assim que o certificado expira, ele não tem mais motivo para estar em uma CRL, pois é permanentemente inválido. (É isso que impede que as CRLs cresçam infinitamente!)

    O que a indicação realmente significa é que a própria CRL expirou. As próprias CRLs também têm uma data de expiração para limitar a possibilidade de um invasor substituir uma CRL mais recente que diz que o certificado X foi revogado por uma CRL mais antiga que não o fez.

    A CA está configurada para publicar CRLs apenas em sua pasta local padrão: C:\Windows\System32\CertSrv\CertEnroll<CaName>.crl

    Esse é o local de publicação HTTP, mas sua captura de tela mostra que ele não está consultando HTTP – está consultando uma URL LDAP (dentro do seu Active Directory), que ainda contém uma CRL desatualizada que foi publicada inicialmente antes de você desabilitar a publicação para LDAP.

    Provavelmente, seu certificado de teste tem uma URL ldap:// no CDP porque foi emitido antes de você desabilitar a publicação LDAP.

    • 3

relate perguntas