Utilizzare Certutil.exe per la verifica delle Revocation List

Certutil è uno strumento di gestione e manipolazione di certificati digitali

È utilizzato per la gestione dello store di certificati, ma può anche fornire indicazioni relativamente ad un certificato salvato in un file.

Ad esempio se vogliamo avere indicazioni complete sul certificato attualmente utilizzato da Google dobbiamo dapprima recuperarlo, aprendo la pagina del motore di ricerca, e poi  salvarlo in un file localmente al PC.

Selezioniamo il Lucchetto nella barra (1) e successivamente facendo click su “Visualizza Certificati” (2)

iexplorer1

In questo modo compaiono le informazioni relative al certificato utilizzato dal browser, è sufficiente salvarlo su un file in formato “Binario Codificato DER X509  (.CER) ”.

iexplorer2

Posizionandosi prima sul TAB Dettagli

Ora possiamo verificare con Certutil.exe il certificato salvato

  • certutil -f –urlfetch -verify C:\Temp\google.cer >GoogleCertResult.txt

 

Anche tramite la videata grafica qui sopra, è possibile visualizzarne le informazioni, ma in questo modo è possibile salvarle in un file di testo, semplificandone la consultazione delle varie proprietà.

All’interno del file, possiamo individuare le modalità di verifica dell’eventuale revoca del certificato.

In questo caso evidenziamo le due modalità

  • CRL ( Certificate Revocation List)
  • OCSP (Online Certificate Status Protocol)

Rispetto alle CRL, OCSP è più performante trasmettendo ad ogni richiesta di verifica meno dati della CRL.

Si rimanda ai link riportati sotto per approfondimenti ulteriori.

revocation1

Utilizzando ancora certutil.exe è possibile effettuare una verifica sulla revoca (eventuale) del certificato salvato.

certutil1

Prima di effettuare la verifica è necessario tramite “Seleziona” recuperare il file di certificato salvato prima ed individuare il metodo di verifica coerente con l’URL scelto.

Questa procedura è utile anche in caso di diagnostica di CA Aziendali “private” ad esempio per individuare problemi dovuti alla non corretta dichiarazione dell’URL della revocation list a seguito di migrazioni che prevedono la modifica del nome host.

Riferimenti:

https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

https://en.wikipedia.org/wiki/Certificate_revocation_list

https://en.wikipedia.org/wiki/X.509

Annunci