Ну, Ярославище, американские законы далеко не всегда можно найти в открытом доступе - хайли лайкли знаете... А вот CRL - можно проверить, у нас не так уж и много крупных CA - thawte, comodo, globalsign... Вряд ли там был сертификат от LE :)
UPD: Нифига не получится. В CRL есть только серийник и код отзыва :) Чел, у которого сертификат, конечно сможет проверить - а другие скорее всего нет :)
UPD2 (большое):
Ну, меня вопрос заинтересовал, и вот какие у меня соображения.
Статья, разумеется, фуфел. У сайта fsb.ru, как и у kremlin.ru
никогда не было сертификатов, проверить это можно у всезнающего гугла -
сервис проверки. Сервис не находит ничего - то есть ничего не было. То есть, я так полагаю, все эти "35 отозванных сертификатов" на самом деле никогда не существовали, а упомянутые сайты
никогда не имели сертификатов.
То есть, получается, что американец пиZDит... как и полагается сейчас настоящему американцу :) Но тем не менее, он как ни странно - прав!
Потому что проблема реально существует. Берем, например, яндекс.
Сертификат выдан внутренним CA Yandex:
CN = Yandex CA
OU = Yandex Certification Authority
O = Yandex LLC
C = RU
...которое ессно не корневой СA, а его сертификат выдан:
CN = Certum Trusted Network CA
OU = Certum Certification Authority
O = Unizeto Technologies S.A.
C = PL
... которое -
внезапно - находится (тут музыка, туш, чернила и клей) - в Польше!
Issuer:
CN=Certum CA,O=Unizeto Sp. z o.o.,C=PL
CN=Certum Trusted Network CA,OU=Certum Certification Authority,O=Unizeto Technologies S.A.,C=PL
Serial:
196157293353240526643865071022521293608
279744
47728425367563953368335862826026879003
9458922105397704934246893660916578283
Not valid before:
2008-10-22 12:07:37 UTC
Not valid after:
2027-06-10 10:46:39 UTC
2029-12-31 12:07:37 UTC
2025-12-30 23:59:59 UTC
Key size:
2048
Signature Algorithm:
sha256WithRSAEncryption
sha1WithRSAEncryption
basicConstraints:
CA:TRUE
subjectKeyIdentifier:
08:76:CD:CB:07:FF:24:F6:C5:CD:ED:BB:90:BC:E2:84:37:46:75:F7
authorityKeyIdentifier:
DirName:/C=PL/O=Unizeto Sp. z o.o./CN=Certum CAserial:01:00:20
keyUsage:
Certificate Sign, CRL Sign
crlDistributionPoints:
Full Name: URI:http://crl.certum.pl/ca.crl
authorityInfoAccess:
OCSP - URI:http://subca.ocsp-certum.comCA Issuers - URI:http://repository.certum.pl/ca.cer
certificatePolicies:
Policy: X509v3 Any Policy CPS: http://www.certum.pl/CPS
Policy: X509v3 Any Policy CPS: https://www.certum.pl/CPS
(пруф -
вот)
То есть, одним движением мышки Certum отзывает сертификат субцентра яндекса - и все сертификаты, выпущенные им, превращаются... в тыкву!
Есть от чего с ума сойти...
Ну и еще момент. Имея сертификат сайта - можно достаточно просто проверить факт его отозванности.
Вот статья на хабре, она короткая, но полезные команды там есть.
