Сервер отзыва сертификата SSL возможно ли убрать?

Question

[Maksim]

Имеется оф. купленный сертификат от RapidSSL Certificate

Внем прописан сервер отзыва сертификата, возможно ли убрать эту информацию из сертификата?

Comments

[Gansterito]

А Микротик тут причем? Попробую угадать. Вы подняли WiFi Hotspot с HTTPS, но в сертификате есть адрес, по которому клиент проверяет отозванные сертификаты, и при текущих настройках Hotspot клиент не может до этого адреса достучаться?

[Maksim]

Gansterito, поднят SSTP с данным сертификатом

Answer 1

[Иван Елисеев]

Вообще, насколько мне известно, любое изменение информации в сертификате, это нарушение его целостности - соответственно, некорректная работа. (никакая))))

Да и вопрос уж слишком общий, а ещё и не в том разделе. Каким образом здесь микротик?
Чем вызвана цель убрать сервер отзыва?

Comments

[Maksim]

Логически я это понимаю, но грех не спросить - может это может сделать сам поставщик сертификата (мож кто сталкивался)

Каким образом микротик?
Ну данный сертификат используется в SSTP сервере поднятом на микротике.

Цель: походу пров, заблочил доступ на сервер где и хранится список отзывов (тем самым клиенты Windows, жалуются на то что не могут достучатся до сервера отзыва)

Да, можно через реестр заставить винду не смотреть в сторону отзыва - но цель другая.

Answer 2

[CityCat4]

Уберите тег микротика - вопрос никаким боком к нему.
Ничего из сертификата убрать нельзя - ни буковки, ни значочка. Поправили один символ - обадва, сертификат некоректен и не открывается!
Если выпускал RapidSSL, то и CRL он поставил свой. Кстати, да, микротик его проверяет :)

Comments

[Maksim]

Уберите тег микротика - вопрос никаким боком к нему.

Ну я бы сказал "бочком" - данный сертификат используется в SSTP сервере поднятом на микротике.

Цель: походу пров, заблочил доступ на сервер где и хранится список отзывов (тем самым клиенты Windows, жалуются на то что не могут достучатся до сервера отзыва)

Микротик - Микротик - Нормально (видимо микротик не смотрит в ту сторону).
Винда-Микротик - жалуемся что не можем проверить не отозван ли сертификат.

Да, можно через реестр заставить винду не смотреть в сторону отзыва - но цель другая.

[CityCat4]

Maksim, микротик проверяет CRL, если он там есть, конечно. Вы смотрели сертификат, там на самом деле есть что-то типа:

X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://certmgr.nichego.net/crls/subCA-one-pem.crl

            Netscape CA Revocation Url: 
                http://certmgr.nichego.net/crls/subCA-one-pem.crl

Там кстати и ссылка будет указана на сервер CRL - его можно будет проверить на доступность.

[Maksim]

CityCat4, тут думаю что смотреть нужно иначе:

Исходя из wireshark:

Имеется:

Extension: status_request
Type: status_request (0x0005)
Length: 5
Certificate Status Type: OCSP (1)
Responder ID list Length: 0
Request Extensions Length: 0

Я не уверен, но я думаю сообщает что имеется OCSP который клиенту стоит проверить.

Далее имеется три сервера:

gp.symcd.com
g2.symcb.com
g1.symcb.com
(не выяснял конретно какой из) просто эти три домена повернул через другой тунель (стоит роутер на выходе) - клиент подключается.

Как я понимаю вариантов, изменить сертификат (точнее убрать информацию о OSCP сервере) нету.

[CityCat4]

Maksim, смотреть можно иначе, но лучше не строить догадки, а посмотреть непосредственно сертификат. И ссылки на CRL-сервер, и ссылки на OCSP-сервер - там, внтури сертификата прописаны.
Вариантов изменить сертификат нет. И даже в будущем - вариантов получить сертификат от этого CA без ссылки на OCSP-сервер - тоже нет. Потому что не будет CA менять политику ради Вас одного. Можно только CA сменить :)

[Maksim]

CityCat4,

но лучше не строить догадки

Так я и не строю, я выше указал что в сертификате.

CRL-сервер, и ссылки на OCSP-сервер

Только OCSP

Вариантов изменить сертификат нет.

Жаль

Answer 3

[Ziptar]

Во-первых, микротик для каждого установленного сертификата пытается проверить не отозван ли он, и, соответсвенно, пытается получить crl. Обычно, если микротик не может получить доступ к списку отзывов для сертификата сервера, который он использует - это никак не препятствует работе его сервисов.
Во-вторых, для sstp - клиенты пытаются проверить сертификат сервера, в том числе не отозван ли этот сертификат, и самостоятельно пытаются получить доступ к crl, без участия сервера.
Так какой провайдер блокирует доступ к crl? Провайдер клиентов? В любом случае блокировка доступа к crl RapidSSL является ни много ни мало нарушением сетевой связности, если блокировку осуществляет провайдер, поэтому пинайте его.
Что касается непосредственно вопроса - нет, данные в сертификате не подлежат изменению.

Далее, в функционале микротиковского SSTP есть настройка "verify client certificate". Она предназначена для установки sstp-соединения исключительно между двумя микротиками. Если эта опция включена - выключите.