Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Microsoft verlopen OCSP cert

29-05-2017, 17:12 door Anoniem, 2 reacties
Nadat ik eerder vandaag problemen had met bezoeken van Microsoft sites met Firefox en daarna https://tweakers.net/nieuws/125191/firefox-gebruikers-hebben-problemen-met-verbinding-met-microsoft-diensten.html las, even een onderzoekje gedaan.

Bij het openen van https://social.technet.microsoft.com/ zie ik in Firefox, zelfs nadat ik alle mogelijke OCSP checks (in about:config) heb uitgezet, het volgende:
Secure Connection Failed

An error occurred during a connection to social.technet.microsoft.com. Invalid OCSP signing certificate in OCSP response. Error code: SEC_ERROR_OCSP_INVALID_SIGNING_CERT

Oorzaak in dit geval:
- social.technet.microsoft.com: type CNAME, class IN, cname lb.social.ms.akadns.net
   lb.social.ms.akadns.net: type A, class IN, addr 157.56.75.164

Bij het opzetten van de https verbinding antwoordt de server met:
1) Server Hello
2) Certificate
3) Certificate Status (OCSP stapling dus)
4) Server Key Exchange
5) Server Hello Done

Bij stap 3 gaat het mis, dan stuurt de server het volgende certificaat mee:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Valid from: ?Tuesday, ?14 ?March, ?2017 23:40:24
Valid to: ?Sunday, ?28 ?May, ?2017 23:40:24
Reacties (2)
29-05-2017, 20:27 door Anoniem
Aanvulling: door in about:config de waarde "security.ssl.enable_ocsp_stapling" op false te zetten (standaardwaarde = true) krijg je geen foutmelding, maar veilig is dit natuurlijk niet omdat je dit daarmee voor elke site uitzet.
30-05-2017, 11:11 door Eric-Jan H te D
Ach ja: aflopende certificaten, licenties en vertrekkende systeembeheerders. Je dacht dat it
IS een vloek was, blijkt dat het IT is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.