"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Canon --> REVOKED CERTIFICATE?

Forum Index > Digital Life > Internet & Provider

Gentleman 16.04.2019 - 11:17 3655 20
12
Posts

Gentleman

Big d00d
Registered: Aug 2018
Location: Wien
Posts: 297
16.04.2019 - 11:17
Stümper oder ist schlimmeres passiert?

Weder FF noch Edge wollen sich mit den Zertifikat anfreunden.
Meldung: SEC_ERROR_REVOKED_CERTIFICATE

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11900
16.04.2019 - 11:22
Der Fehler bedeutet, dass die CA, die das Zertifikat fuer den Host (Welcher bzw. was ist das? Das Webinterface eines Druckers?) ausgestellt bzw. signiert hat, diese Signatur via CRL oder OCSP widerrufen hat. Du solltest versuchen festzustellen, wann und warum das Zertifikat revoked wurde, bevor du weitere Schritte unternimmst.

smashIt

master of disaster
Avatar
Registered: Feb 2004
Location: OÖ
Posts: 5012
16.04.2019 - 11:27
ich glaube es geht um die homepage von denen

Gentleman

Big d00d
Registered: Aug 2018
Location: Wien
Posts: 297
16.04.2019 - 11:29
Keine der Canon Websites für die das Zertifikat gültig wäre, ist zu erreichen.
Dabei ist es erst mal 1 Monat alt.

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11900
16.04.2019 - 11:34
Ah, OK :D Das ist was anderes, und muss seitens des Webmasters von http://www.canon.at (und Konsorten) behoben werden, indem dort ein neues Schluesselpaar mit neuer CA-Signatur installiert wird.

BiG_WEaSeL

Super Moderator
-
Avatar
Registered: Jun 2000
Location: Wien
Posts: 8072
16.04.2019 - 11:42
hm, bei mir funktionierten diese Websites schon (auch schon um 11:30) sowohl in Safari/FF via UPC Business.

smashIt

master of disaster
Avatar
Registered: Feb 2004
Location: OÖ
Posts: 5012
16.04.2019 - 11:45
Zitat aus einem Post von BiG_WEaSeL
hm, bei mir funktionierten diese Websites schon (auch schon um 11:30) sowohl in Safari/FF via UPC Business.

intressant
bei mir streikt sie im FF (gerade nochmal probiert)

Gentleman

Big d00d
Registered: Aug 2018
Location: Wien
Posts: 297
16.04.2019 - 11:47
Ich wollt euch jetzt nicht von der Arbeit abhalten :)
...dann muss ich auf den aktuelle AF Leitfaden halt noch warten..

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11900
16.04.2019 - 11:48
Das Cert ist via OCSP revoked. Evtl. habt ihr selbst eine alte Response im Cache, oder der canon-Server stapled eine alte dran, die eurem TLS-Client genuegt, oder ihr macht ueberhaupt keine OCSP-Lookups...

Es ist jedenfalls davon auszugehen, dass es "bald mal" universell als ungueltig angesehen wird.

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11521
16.04.2019 - 11:48
bei mir funzt sie auch mit firefox und chromium

edit: wsl habt ihr eine kaputte version im cache, kann ja sein dass das kaputte cert noch beim ersten post in verwendung war

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19585
16.04.2019 - 11:49
Canon.at zumindest geht bei mir sowohl mit Chrome als auch FF (beide aktuell).

click to enlarge

Öffne die Seite mal via Incognito Tab (glaube das öffnet die Seite auch ohne Cache? Bin mir da nicht sicher). Falls du von der Firma aus drauf surfst, schau mal das Cert an das der Browser bekommen hat (via Lock-Symbol neben der URL) ... könnte ja plötzlich ein Cert von eurer Firewall sein.

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11900
16.04.2019 - 12:20
Man muss da nicht spekulieren, man kann auch einfach nachschauen und wissen.

Man besorgt sich das Leaf- und das Issuer-Zertifikat von "www.canon.at":

Code:
openssl s_client -showcerts -connect [url]www.canon.at:https[/url] <<<'' \
  2>/dev/null | sed -n '/-----BEGIN/,/-----END/p'
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Der erste PEM-Block ist das Zertifikat von canon.at, der zweite das Zertifikat der CA, mit dem ersteres signiert wurde. Nun fragt man den OCSP-Endpoint von digicert, was es zu diesem Zertifikat zu wissen gibt:

Code:
$ openssl ocsp -issuer ca.crt -cert canon.crt -text -url [url]http://ocsp.digicert.com[/url]
OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 105FA67A80089DB5279F35CE830B43889EA3C70D
          Issuer Key Hash: 0F80611C823161D52F28E78D4638B42CE1C6D9E2
          Serial Number: 053EEB8407FDB006DC76C60FB23B227C
    Request Extensions:
        OCSP Nonce: 
            04103EFF2B329CCEE08BC0DFF87751C0E7AD
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: 0F80611C823161D52F28E78D4638B42CE1C6D9E2
    Produced At: Apr 15 12:26:58 2019 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 105FA67A80089DB5279F35CE830B43889EA3C70D
      Issuer Key Hash: 0F80611C823161D52F28E78D4638B42CE1C6D9E2
      Serial Number: 053EEB8407FDB006DC76C60FB23B227C
    Cert Status: revoked
    Revocation Time: Apr 14 11:53:32 2019 GMT
    This Update: Apr 15 12:26:58 2019 GMT
    Next Update: Apr 22 11:41:58 2019 GMT

    Signature Algorithm: sha256WithRSAEncryption
         3b:ae:2e:4f:cd:8a:ca:7a:7a:ba:a3:50:0f:01:f1:2e:30:be:
         01:23:2d:87:39:75:49:b9:79:c8:87:7f:ee:7f:d7:f3:03:94:
         51:db:74:44:73:7b:de:cf:82:a3:61:71:93:5e:26:30:8e:d0:
         ad:a2:21:70:ec:df:dc:0e:70:cc:10:35:f8:83:ce:52:69:9e:
         fd:9d:3f:b8:4f:db:1c:eb:ad:16:1e:b9:d4:20:cd:63:3a:0e:
         f6:43:5f:98:47:94:68:ab:bb:08:28:27:0c:ff:5c:ba:72:02:
         d3:66:a1:0e:5d:ed:2e:9e:b5:f4:c2:92:da:c4:14:8c:0a:9d:
         f5:b8:c2:01:c1:9c:39:b8:53:79:24:43:b7:f2:76:8f:83:06:
         b4:5e:3e:af:da:55:89:63:c5:0d:c6:eb:7f:2b:8d:b0:38:3d:
         0a:70:f1:7f:fc:7a:da:30:29:5e:57:ce:a6:d1:f0:e8:c5:89:
         0c:46:d0:2d:44:9a:6c:a6:71:48:83:86:6c:eb:28:a7:f2:cb:
         1d:f7:94:b8:26:d7:7b:1b:29:eb:ab:4f:96:36:99:5c:99:5e:
         9c:61:57:c3:bc:7e:7f:d9:a6:9a:19:93:e4:cf:fd:8a:76:c6:
         f8:43:7d:f8:6a:48:41:ef:8c:0a:95:33:e1:70:28:27:ec:24:
         c2:c6:47:86
WARNING: no nonce in response
Response verify OK
canon.crt: revoked
	This Update: Apr 15 12:26:58 2019 GMT
	Next Update: Apr 22 11:41:58 2019 GMT
	Revocation Time: Apr 14 11:53:32 2019 GMT

Die relevante Information findet man in der Ausgabe ganz unten. Das Zertifikat ist revoked.

Gentleman

Big d00d
Registered: Aug 2018
Location: Wien
Posts: 297
16.04.2019 - 12:34
Muss, sobald ein Zertifikat "revoked" ist, sich bloß der Status des OCSP Request ändern? Sprich mit update am 22.4.2019
ODER
muss ein völlig neues Zertifikat aufgespielt werden weill der Status "revoked" für ein Zertifikat unumkerbar ist?

...ich hoffe ich habe mich verständlich ausgedrückt.

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11900
16.04.2019 - 12:39
Rein technisch waere eine Revocation umkehrbar (man muesste nur eine neu signierte CRL publizieren in dem die Serial des Zertifikates nicht mehr revoked ist, bzw. dem OCSP-Responder sagen, dass er fuer dieses Zertifikat einen anderen Status abgeben soll) - aber wenn eine approbierte CA das macht, fliegt sie wohl aus allen Trust-Stores der Welt. Wird also nicht passieren, und canon muss ein voellig neues Zertifikat loesen/signieren lassen/konfigurieren/verwenden.

Gentleman

Big d00d
Registered: Aug 2018
Location: Wien
Posts: 297
16.04.2019 - 12:49
Danke für die Erklärung.
Ich schätze, dass dieser Prozess bei Canon dauern wird, denn sie wissen es bereits seit gestern :)
All times are GMT +1 hour. The time now is 13:30.
12
Anmeldung

Join us! | Datenschutz

New Posts
Today's Active Threads
Sportschießen & Waffenrecht
13:12 Jedimaster
AMD Zen 4
13:12 Jedimaster
Windows 11
13:09 Jedimaster
Der Tastatur Thread
13:07 d0lby
Der große SpaceX Thread
13:06 22zaphod22
Der Lego Thread
13:04 rad1oactive
Latest News
Erweiterung unseres Suche / Biete / Tausche Markplatzes: Alles außer Hardware!
07.04. WONDERMIKE
User of the Moment: Viper780
04.05. böhmi
Serverumzug 2023
27.02. WONDERMIKE
Intel Open Overclocking Championship @ HWBOT
26.06. noizemaker
User of the Month: Kuhlimuh
28.12. WONDERMIKE
Archives: News Articles
Links

Partners:
» Gamers.at
» Notebookcheck.com

L E F T B A R
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz
© all rights reserved by overclockers.at 2000-2024
overclockers.at v4.thecommunity based on vBulletin 2.2.5
Page generated in 0.043 seconds (SQL-time: 0.038 seconds, 39 queries)
sponsored by www.nessus.at