निरस्त करने के लिए SSL प्रमाणपत्र की समीक्षा करें

आजकल, सुरक्षित सूचना हस्तांतरण का सबसे महत्वपूर्ण पहलू एन्क्रिप्शन है। एक एसएसएल प्रमाणपत्र का उपयोग करके क्लाइंट से सर्वर पर प्रेषित डेटा एन्क्रिप्ट किया गया है। एक प्रमाण पत्र एक प्रमाणीकरण प्राधिकारी द्वारा प्रमाणित एक सार्वजनिक कुंजी है।

सभी एसएसएल प्रमाणपत्र, एक नियम के रूप में, एक सीमित अवधि के लिए जारी किए जाते हैं, जिसके बाद वे समाप्त हो जाते हैं और उन्हें फिर से जारी किया जाना चाहिए। हालांकि, ऐसे समय होते हैं जब कोई प्रमाणपत्र समाप्ति तिथि से पहले रद्द किया जा सकता है। एसएसएल प्रमाण पत्र को रद्द करने के कई कारण हैं, उनमें से सबसे आम है कि निजी कुंजी खो गई या समझौता हो गया, कंपनी पंजीकरण बदल गया, आदि।

यह जांचने के लिए 2 वैकल्पिक तरीके हैं कि क्या SSL प्रमाणपत्र निरस्तीकरण सूची में है:

• CRL (प्रमाणपत्र निरस्तीकरण सूची) - निरस्तीकरण सूची में प्रमाणपत्र क्रमांक की उपस्थिति के लिए जाँच करता है।
• OCSP (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) - प्रमाण पत्र एक विशेष सर्वर को भेजा जाता है, जहां इसकी स्थिति की जाँच की जाती है।

आइए उबंटू कंसोल का उपयोग करके इन दोनों तरीकों को अधिक विस्तार से देखें। और एक उदाहरण के रूप में, चलो समीक्षा के लिए habr.com डोमेन के लिए प्रमाण पत्र की जांच करें।

सीआरएल

जिस डोमेन में हम रुचि रखते हैं उसका प्रमाण पत्र डाउनलोड करें:

echo -n | openssl s_client -connect habr.com:443 -servername habr.com 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/habr.com.crt 

-Servername पैरामीटर को जोड़ने के लिए संकेत के लिए लीजनियन का धन्यवाद - सही प्रमाणपत्र चयन के लिए आवश्यक है यदि एक ही आईपी पते पर कई (एसएनआई) स्थापित हैं।

हम प्रमाण पत्र के विवरण को देखते हैं:

 openssl x509 -noout -text -in /tmp/habr.com.crt 

यहां हम "X509v3 CRL डिस्ट्रीब्यूशन पॉइंट" आइटम "पूर्ण नाम" अनुभाग में रुचि रखते हैं।

इस लिंक से CLR सूची डाउनलोड करें:

 wget http://crl.comodoca.com/COMODORSADomainValidationSecureServerCA.crl 

हम प्रमाणपत्र की क्रम संख्या निकालते हैं:

 openssl x509 -in /tmp/habr.com.crt -noout -serial 

हम देखते हैं कि क्या यह संख्या CRL सूची में है:

 openssl crl -inform DER -text -in COMODORSADomainValidationSecureServerCA.crl | grep "90E58B0601C3AD98F07AEE092041C437" 

अगर कुछ नहीं मिला, तो प्रमाण पत्र निरस्त नहीं किया जाता है।

OCSP

हम हमारे लिए ब्याज के क्षेत्र का प्रमाण पत्र और मध्यवर्ती प्रमाणपत्रों की श्रृंखला प्रदर्शित करेंगे:

 echo -n | openssl s_client -connect habr.com:443 -showcerts 

डोमेन सर्टिफिकेट और इंटरमीडिएट सर्टिफिकेट (पंक्तियों के बीच का कोड ----- BEGIN CERTIFICATE ----- और ----- END CERTIFICATE -----) फाइलों में सेव करें:

 /tmp/habr.com.crt /tmp/intermediate.crt 

OCSP सर्वर को परिभाषित करें:

 openssl x509 -in /tmp/habr.com.crt -noout -ocsp_uri 

हम OCSP सर्वर को अनुरोध भेजेंगे कि वे निरस्तीकरण के लिए प्रमाणपत्र की जांच करें:

 openssl ocsp -url http://ocsp.comodoca.com -issuer /tmp/intermediate.crt -cert /tmp/habr.com.crt -text 

यदि सब कुछ सही ढंग से निर्दिष्ट किया गया है, तो OCSP सर्वर को प्रमाण पत्र पर जानकारी वापस करनी चाहिए।

यहाँ ब्याज की अंतिम पंक्तियाँ हैं:

 Response verify OK /tmp/habr.com.crt: good 

निरस्त लोगों की सूची में एक प्रमाण पत्र की अनुपस्थिति "अच्छे" मूल्य द्वारा इंगित की जाती है, यदि प्रमाण पत्र निरस्त किया गया था, तो मूल्य "निरस्त" होगा।

स्वचालन

निरस्तीकरण के लिए एसएसएल प्रमाणपत्रों को मैन्युअल रूप से जांचना हमेशा सुविधाजनक नहीं होता है, इसलिए सत्यापन प्रक्रिया को स्वचालित किया जा सकता है।

ऐसा करने के लिए, हम Github के साथ तैयार ssl-check-revoc.sh स्क्रिप्ट लेते हैं, जो CRL पद्धति का उपयोग करके प्रमाणपत्रों की जांच करता है:

 wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-revoc.sh 

इसके बाद, स्क्रिप्ट को निष्पादन योग्य बनाएं:

 chmod a+x ssl-check-revoc.sh 

अब आप डोमेन के लिए पहले से ही स्थापित प्रमाण पत्र और फ़ाइलों में स्थानीय रूप से संग्रहीत दोनों की जांच कर सकते हैं (विकल्प -f):

 ./ssl-check-revoc.sh habr.com -v 

Zabbix

Ssl-check-revoc.sh स्क्रिप्ट न केवल कंसोल से प्रमाणपत्रों की जांच कर सकती है, यह ज़ैबिक्स के लिए एक चेकर के रूप में भी काफी उपयुक्त है, इसलिए ट्रैकिंग प्रमाणपत्रों को निरस्त करने की सूची में आने वाले सभी गंदे काम को निगरानी प्रणाली को सौंपा जा सकता है।

हम Zabbix config /etc/zabbix/zabbix_server.conf में जाते हैं और देखते हैं कि बाहरी जाँच की स्क्रिप्ट कहाँ स्थित हैं:

 ExternalScripts=/etc/zabbix/externalscripts 

हम अपनी स्क्रिप्ट को इस निर्देशिका में कॉपी करते हैं और Zabbix को फिर से शुरू करते हैं:

 sudo cp ssl-check-revoc.sh /etc/zabbix/externalscripts/ sudo systemctl restart zabbix-server 

हम वेब इंटरफ़ेस में जाते हैं और एक टेम्प्लेट बनाते हैं (कॉन्फ़िगरेशन >> टेम्प्लेट्स >> क्रिएट टेम्प्लेट)। टेम्पलेट के नाम के लिए, "टेम्पलेट एसएसएल चेकिंग" निर्दिष्ट करें। फिर, टेम्प्लेट के अंदर, एक “SSL सर्टिफिकेट इन रिवोकेशन लिस्ट” आइटम (आइटम) बनाएं, “ssl-check-revoc.sh [{HOST.NAME}]” को कुंजी के रूप में निर्दिष्ट करें, चेक के प्रकार के साथ "बाहरी चेक" है। निरीक्षण अंतराल को परियोजना की आलोचनात्मकता के आधार पर, आपके विवेक पर सेट किया जा सकता है।



आपको दो ट्रिगर की भी आवश्यकता होगी:

1. प्रमाणपत्र के निरस्तीकरण का संकेत करने के लिए "डोमेन के लिए प्रमाणपत्र {HOST.NAME} निरस्तीकरण सूची में है"
अभिव्यक्ति: "{टेम्पलेट कस्टम एसएसएल चेकिंग: ssl-check-revoc.sh [{HOST.AMEAME}]। अंतिम ()} = 1"



2. कुछ गलत होने पर (उदाहरण के लिए, सीएलआर सर्वर के साथ समस्याएँ हैं, मामले में) त्रुटि का संकेत देने के लिए "" डोमेन {HOST.NAME} के लिए प्रमाणपत्र की जांच करने में त्रुटि "
अभिव्यक्ति: "{टेम्पलेट कस्टम एसएसएल चेकिंग: ssl-check-revoc.sh [{HOST.AMEAME}]। अंतिम ()} = 2"



ट्रिगर की स्थिति में अधिसूचना विधि को कॉन्फ़िगर करने के लिए क्रियाओं (कॉन्फ़िगरेशन >> क्रियाएँ) में मत भूलना।

अब यह मेजबान बनाने के लिए बना हुआ है, जिसके प्रमाण पत्र हम नियमित रूप से जांचेंगे (कॉन्फ़िगरेशन >> होस्ट >> होस्ट बनाएं)। टेम्प्लेट टैब पर, हमारे टेम्पलेट एसएसएल चेकिंग टेम्पलेट को लिंक करें।



और यह बात है! आप शांति से सो सकते हैं: यदि किसी कारण से आपके डोमेन का एसएसएल प्रमाण पत्र निरस्त लोगों की सूची में आता है, तो ज़ैबिक्स आपको तुरंत भेज देगा।