¿Existe un caché de estado del Certificado SSL / TLS en Windows, IE y Outlook y cómo se gestionó?

13

Hoy cambié el certificado SSL que usan más de 3,000 clientes de Outlook. Al hacer esto, cambié el certificado a uno "anterior" que tenía el mismo nombre de sujeto, vencimiento y todo lo demás. Solo cambiaron la huella digital y un nombre SAN. Una vez que llegaron los informes de un problema, revirtí el cambio. (1 hora)

Parece que al hacerlo, varias instancias implementadas de Outlook se bloquearon y, a pesar de mis 15 años de trabajo con Outlook en una capacidad de soporte, no pude recuperar el perfil y tuve que volver a crearlo. (No quiero repetir este proceso para los 20+ perfiles restantes)

Solo puedo asumir que existe un caché SSL en Windows, Outlook o en su dependencia de IE.

Esto me lleva a mi pregunta:

  • ¿Qué datos SSL existen en el botón de estado SSL de IE? ¿Es este un caché de datos web HTTP o datos de certificados?

  • ¿Hay una caché SSL por aplicación y / o una global? (por ejemplo, schannel, etc.)

  • ¿Cómo edito o administro este caché?

Aquí hay una imagen del editor SSL en IE (consulte "Borrar estado SSL")

Actualización:

Apesardequeelcertificadotieneelformatocorrecto,aldesmarcarelsiguientecuadrodetextoenlaconfiguracióndeOutlookapareceparacorregirelproblema

    
pregunta random65537 07.08.2013 - 01:33
fuente

2 respuestas

5

El botón 'Borrar estado SSL' está ahí para purgar el caché SSL de los Certificados de clientes seleccionados utilizados para autenticarse a SSL servicios basados en Solo está ahí para hacer que los certificados de clientes funcionen más rápido (en parte, recordando qué certificado usó para autenticarse en un sitio determinado). No almacena en caché los certificados SSL vistos anteriormente.

Outlook + Exchange puede usar certificados de cliente para la autenticación, pero no es una configuración común; la mayoría de los sitios siguen con NTLM o Kerberos sobre SSL.

Outlook + IMAP no puede usar certificados de cliente, pero es muy posible que esté equivocado; No he oído hablar de una instancia donde se usen.

En su lugar, puede estar encontrando problemas con el Validador de SSL de Windows.

    
respondido por el sysadmin1138 07.08.2013 - 13:23
fuente
4

Normalmente, la gestión SSL es por proceso. La DLL de implementación de SSL recordará, por ejemplo, las sesiones de SSL y podrá negociar acuerdos abreviados (es cuando un cliente se vuelve a conectar a un servidor, y aceptan reutilizar el secreto compartido simétrico que establecieron en una versión anterior). conexión). Internet Explorer ahora tiene el hábito de generar varios procesos, pero incluye algunos trucos para compartir la información de la sesión SSL a través de estos procesos. Sin embargo, todo esto desaparece cuando todos los procesos de IE están cerrados.

Lo que queda en el caché son las CRL. Cuando Windows quiere validar un certificado (por ejemplo, un certificado de servidor), intentará obtener información de revocación, por lo tanto respuestas de CRL u OCSP, descargadas desde la URL que se encuentran en los propios certificados. Windows almacenará en caché la CRL, y esa es una caché en disco porque resiste los reinicios. Windows también almacenará en caché la CRL "negativa", es decir, los fallos para obtener una CRL de una URL determinada. Si Windows no pudo obtener una CRL de una URL específica, puede abstenerse de volver a intentar la misma URL durante ocho horas, e incluso un reinicio podría no ser suficiente para desbloquearla. Esto es a menudo molesto.

De manera similar al caché de CRL, Windows también puede descargar certificados de CA intermedios, usando la URL de los certificados (la extensión Authority Information Access ). Estos certificados de CA también pueden almacenarse en caché, aunque no necesariamente aparecen en los almacenes de certificados (como se puede ver desde certmgr.msc ).

Consulte esta publicación de blog para obtener información sobre el caché de CRL de Windows.

Cuando se usa la autenticación de cliente basada en certificados en un contexto de Active Directory, las cosas se vuelven más complejas, porque:

  • El cliente SSL valida el certificado del servidor SSL.
  • El servidor SSL valida el certificado del servidor AD.
  • El servidor de AD valida el certificado de cliente SSL.

Las tres validaciones que se realizan en máquinas distintas, con reglas sutilmente distintas, y la asignación de certificados a cuentas de AD pueden fallar de muchas maneras.

    
respondido por el Thomas Pornin 07.08.2013 - 13:21
fuente

Lea otras preguntas en las etiquetas