¿Qué herramientas existen para ayudarme a monitorear los fallos de validación de certificados de OCSP?

6

La discusión en ¿Por qué no se requiere OCSP por defecto? en los navegadores? observa que muchos navegadores, de forma predeterminada, simplemente ignoran el hecho de no verificar el estado de revocación del certificado TLS del sitio a través del Protocolo de estado de certificado en línea (OCSP).

¿Hay una forma sencilla (por ejemplo, una herramienta) para los usuarios que se preocupan por ello, o simplemente tienen curiosidad, de monitorear las solicitudes de OCSP y detectar o registrar cuando las conexiones fallan? P.ej. una extensión del navegador sería útil.

Tengo curiosidad por todas las plataformas y navegadores populares.

Actualización : buscando un poco más, encontré esta explicación del flujo básico de OCSP y cómo hacerlo paso a paso con openssl: Verificación de OCSP con OpenSSL .

----- EMPIEZA A WHINE -----
En los viejos tiempos antes de que HTTP se convirtiera en una navaja suiza, tendría que capturar todos los paquetes para el "puerto OCSP". Pero no : OCSP está superpuesto a HTTP, por lo que necesito algo más que una simple herramienta basada en pcap: necesito averiguar qué URL de HTTP están relacionadas con OCSP y analizarlas con más palabras. conversaciones ....
----- FIN DE LA MATINA -----

    
pregunta nealmcb 23.05.2011 - 20:43
fuente

2 respuestas

3

La mayor parte de mi experiencia últimamente ha sido con el Tumbleweed Desktop Validator (¿ahora Axway?): se conectará a los navegadores y funcionará de forma independiente con un montón de opciones de configuración. Comprueba OCSP y muestra una advertencia cuando algo malo ha sucedido. Creo que también puede configurarlo para denegar el acceso.

No es el único producto, solo el producto con el que he trabajado más recientemente. Muchos de los fabricantes de servidores OCSP tienen una oferta del lado del cliente, ya que es solo la otra mitad de la ecuación. Me temo que no conozco a ningún libre.

    
respondido por el bethlakshmi 23.05.2011 - 21:48
fuente
2

Algo que se me ocurrió hace un momento: Necesita algunos ajustes, pero esto puede funcionar para pruebas rápidas (advertencia, ¡la salida no es muy bonita!)

sudo tshark -i eth1 -f "tcp port http" -R "ocsp.responses || ocsp.Request" -V -T text 

Lo que esto hace es que mira eth1 (mi interfaz de Internet) para los paquetes http, los obtiene, filtra aquellos que tienen el tipo de contenido ocsp-response o ocsp-request e imprime el paquete decoded , para que uno pueda ver lo que está pasando.

Necesita ajuste fino porque muestra información sobre los campos de encabezado ip y tcp, y detalla todos los campos de respuesta ocsp con el mayor detalle posible.

Se pueden aplicar los mismos filtros a wireshark para una salida más bonita.

    
respondido por el john 24.05.2011 - 02:47
fuente

Lea otras preguntas en las etiquetas