Como verifico se meus certificados SSL foram revogados

A recente descoberta da vulnerabilidade heartbleed levou as autoridades de certificação a reemitir certificados.

Eu tenho dois certificados que foram gerados antes da descoberta da vulnerabilidade heartbleed. Depois que o emissor do SSL me disse para regenerar o certificado, atualizei meus servidores / domínios com os novos certificados.

Se meu entendimento estiver correto, os certificados antigos deveriam ter sido revogados pela CA e devidos à CRL (Lista de revogação de certificados) ou ao banco de dados OCSP (Protocolo de status de certificado on-line), caso contrário, é tecnicamente possível para alguém executar uma " man in the middle attack ", regenerando os certificados das informações coletadas nos certificados comprometidos.

Existe uma maneira de verificar se meus certificados antigos chegaram à CRL e OCSP. Se não tiverem, existe uma maneira de incluí-los?

ATUALIZAÇÃO: A situação é que eu já substituí meus certificados, tudo o que tenho são os arquivos .crt dos certificados antigos, portanto, usar o URL para verificar não é realmente possível.

Obtenha o URL do ocsp do seu certificado:

$ openssl x509 -noout -ocsp_uri -in /etc/letsencrypt/archive/31337.it/cert1.pem
http://ocsp.int-x1.letsencrypt.org/
$

Envie uma solicitação ao servidor ocsp para verificar se o certificado foi revogado ou não:

$ openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain4.pem -cert /etc/letsencrypt/archive/31337.it/cert4.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 10:00:00 2015 GMT
        Next Update: Nov  5 10:00:00 2015 GMT
$

este é um bom certificado.

Este é um certificado revogado:

$  openssl ocsp -issuer /etc/letsencrypt/archive/31337.it/chain3.pem -cert /etc/letsencrypt/archive/31337.it/cert3.pem -text -url http://ocsp.int-x1.letsencrypt.org/ -header "HOST" "ocsp.int-x1.letsencrypt.org"
...
        This Update: Oct 29 12:00:00 2015 GMT
        Next Update: Nov  5 12:00:00 2015 GMT
        Revocation Time: Oct 29 12:33:57 2015 GMT
$

Você pode usar o certutil no Windows:

Se você possui um certificado e deseja verificar sua validade, execute o seguinte comando:

certutil -f –urlfetch -verify [FilenameOfCertificate]

Por exemplo, use

certutil -f –urlfetch -verify mycertificatefile.cer

Fonte / Mais informações: TechNet

Além disso, verifique com sua CA. Só porque você redigita o certificado / obtém um novo, não significa que eles o revogam automaticamente!

Você pode usar este serviço SSLLabs para testar certificados SSL, mas é necessário que eles estejam acessíveis na Web. Além disso, você pode descobrir mais algumas informações, porque este serviço fornece algumas auditorias.

Se você revogou os certificados por meio da CA que os gerou, eles teriam chegado a OCSP e CRLs.

Se você quiser ter certeza de que é esse o caso, extraia o URL do ocsp do certificado e construa uma solicitação de ocsp para esse URL, incluindo o número de série do certificado, o certificado do emissor ca e recupere a resposta do ocsp. analise-o para verificar e confirmar se é realmente revogado.

Mais detalhes nesta página útil: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/

Nota: isso requer o uso da biblioteca openssl.

Edit1: Vejo que você adicionou informações sobre OCSP e CRL explicitamente após esta resposta.