DigiNotar OCSP responses fout?
04-09-2011,00:08 door
Momenteel zie ik DigiNotar foutieve OCSP responses geven als ik bijv. https://www.digid.nl, https://www.terneuzen.nl of https://secure.eindhoven.nl/ bezoek met Firefox (3.6.21). De reden daarvoor is dat ik Firefox zo heb ingesteld dat deze op OCSP moet checken (en stopt bij fouten).
Bij het bezoeken van bovengenoemde sites wordt er een OCSP request naar "validation.diginotar.nl" [143.177.3.45] gestuurd (de URL daarvoor staat in het certificaat dat de digid en terneuzen sites naar mijn webbrowser sturen). In het antwoord staat een timestamp die aangeeft wanneer dat antwoord is gegeneerd, en dat is structureel bijna 1 uur fout (de klok van mijn PC heb ik steeds correct geupdate via ntp):
Sep 3, 2011 23:26:49.799818000 request verzonden
Sep 3, 2011 23:26:50.056237000 response ontvangen
Response bevat: "producedAt: 2011-09-03 20:29:09 (UTC)"
Sep 3, 2011 23:55:32.217574000
Sep 3, 2011 23:55:32.409996000
Response bevat: "producedAt: 2011-09-03 20:57:51 (UTC)"
Daarnaast opende ik http://validation.diginotar.nl/ en kreeg op Sep 3, 2011 23:59:54.049186000 de volgende headers in het antwoord:
Kortom, de klok lijkt daar niet goed meer te lopen. Dit heeft consequenties voor websites waarbij van een wel vertrouwde root CA (Staat der Nederlanden root certificaat) gebruik gemaakt wordt!
N.b. als ik OCSP checken uitzet in Firefox krijg ik geen foutmelding als ik de genoemde websites open, maar dat kan niet de bedoeling zijn...
Edit 00:30: diverse correcties. Waarom er lege regels in de grijze "code" sectie verschijnen is me een raadsel.
Bij het bezoeken van bovengenoemde sites wordt er een OCSP request naar "validation.diginotar.nl" [143.177.3.45] gestuurd (de URL daarvoor staat in het certificaat dat de digid en terneuzen sites naar mijn webbrowser sturen). In het antwoord staat een timestamp die aangeeft wanneer dat antwoord is gegeneerd, en dat is structureel bijna 1 uur fout (de klok van mijn PC heb ik steeds correct geupdate via ntp):
Sep 3, 2011 23:26:49.799818000 request verzonden
Sep 3, 2011 23:26:50.056237000 response ontvangen
Response bevat: "producedAt: 2011-09-03 20:29:09 (UTC)"
Sep 3, 2011 23:55:32.217574000
Sep 3, 2011 23:55:32.409996000
Response bevat: "producedAt: 2011-09-03 20:57:51 (UTC)"
Daarnaast opende ik http://validation.diginotar.nl/ en kreeg op Sep 3, 2011 23:59:54.049186000 de volgende headers in het antwoord:
HTTP/1.1 200 OK
Date: Sat, 03 Sep 2011 21:02:13 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 893
Set-Cookie: Coyote-2-a0a1414=a0a5015:0; path=/
Kortom, de klok lijkt daar niet goed meer te lopen. Dit heeft consequenties voor websites waarbij van een wel vertrouwde root CA (Staat der Nederlanden root certificaat) gebruik gemaakt wordt!
N.b. als ik OCSP checken uitzet in Firefox krijg ik geen foutmelding als ik de genoemde websites open, maar dat kan niet de bedoeling zijn...
Edit 00:30: diverse correcties. Waarom er lege regels in de grijze "code" sectie verschijnen is me een raadsel.
Laatst gewijzigd:
04-09-2011,
00:30
