certificado revocado que no se muestra revocado en Chrome 64.0.3282.186

2

Hasta donde puedo decir (ssllabs.com / ssldecoder.org) el certificado para www.sarahah.com ha sido revocado:

Serial  C1:18:2F:1A:91:A9:0E:03

CRL - Revoked on CRL: http://crl.godaddy.com/gdig2s1-792.crl
Revocation date: Mar 1 18:19:00 2018 GMT

OCSP    - REVOKED: http://ocsp.godaddy.com/
Revocation Time: Mar 1 18:19:00 2018 GMT
Revocation Reason: cessationOfOperation

Esto se muestra como SEC_ERROR_REVOKED_CERTIFICATE en Firefox 58.0.2, como debería ser.

Sin embargo, Chrome 64 parece estar perfectamente feliz con él. ¿Alguna idea de lo que está pasando?

Obviamente, el nombre de host se resuelve en varias direcciones IP, pero el comportamiento parece ser consistente en Firefox y Chrome con varias actualizaciones.

    
pregunta Oli 04.03.2018 - 16:47
fuente

1 respuesta

2

Mientras Firefox usa OCSP para verificar la revocación, Google Chrome usa CRLsets que incluyen solo las revocaciones que se consideran ser importante para el proyecto, que lamentablemente no incluye todos los certificados revocados. Y el sitio que ha visitado no parece ser lo suficientemente importante como para incluirlo en los CRLsets.

Para una discusión más profunda sobre este problema, vea Una evaluación de la efectividad de los CRLSets de Chrome (2014) , Comprobación de revocación y CRL de Chrome (2012) o revocación del certificado SSL y cómo se rompe en la práctica (2018) .

    
respondido por el Steffen Ullrich 04.03.2018 - 18:15
fuente

Lea otras preguntas en las etiquetas