Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Microsoft verlopen OCSP cert

29-05-2017, 17:12 door Anoniem, 2 reacties
Nadat ik eerder vandaag problemen had met bezoeken van Microsoft sites met Firefox en daarna https://tweakers.net/nieuws/125191/firefox-gebruikers-hebben-problemen-met-verbinding-met-microsoft-diensten.html las, even een onderzoekje gedaan.

Bij het openen van https://social.technet.microsoft.com/ zie ik in Firefox, zelfs nadat ik alle mogelijke OCSP checks (in about:config) heb uitgezet, het volgende:
Secure Connection Failed

An error occurred during a connection to social.technet.microsoft.com. Invalid OCSP signing certificate in OCSP response. Error code: SEC_ERROR_OCSP_INVALID_SIGNING_CERT

Oorzaak in dit geval:
- social.technet.microsoft.com: type CNAME, class IN, cname lb.social.ms.akadns.net
   lb.social.ms.akadns.net: type A, class IN, addr 157.56.75.164

Bij het opzetten van de https verbinding antwoordt de server met:
1) Server Hello
2) Certificate
3) Certificate Status (OCSP stapling dus)
4) Server Key Exchange
5) Server Hello Done

Bij stap 3 gaat het mis, dan stuurt de server het volgende certificaat mee:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Valid from: ?Tuesday, ?14 ?March, ?2017 23:40:24
Valid to: ?Sunday, ?28 ?May, ?2017 23:40:24
Reacties (2)
29-05-2017, 20:27 door Anoniem
Aanvulling: door in about:config de waarde "security.ssl.enable_ocsp_stapling" op false te zetten (standaardwaarde = true) krijg je geen foutmelding, maar veilig is dit natuurlijk niet omdat je dit daarmee voor elke site uitzet.
30-05-2017, 11:11 door Eric-Jan H te D
Ach ja: aflopende certificaten, licenties en vertrekkende systeembeheerders. Je dacht dat it
IS een vloek was, blijkt dat het IT is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure Salt Road Compromised Components