Security Professionals - ipfw add deny all from eindgebruikers to any

MS Technet en cloudflare OCSP errors

12-02-2015, 12:03 door Erik van Straten, 6 reacties
Als ik nu (20150212 12:02 +0100) https://technet.microsoft.com/ bezoek, met mandatory OCSP check aan in Firefox, krijg ik als foutmelding:
An error occurred during a connection to technet.microsoft.com.
The OCSP response contains out-of-date information.
(Error code: sec_error_ocsp_old_response)

Reden: in het certificaat voor technet.microsoft.com staat als OCSP server opgenomen: http://ocsp.msocsp.com
De DNS lookup voor ocsp.msocp.com levert op:
CNAME hostedocsp.globalsign.com, A 108.162.232.196,
A 108.162.232.207, A 108.162.232.199, A 108.162.232.198, A 108.162.232.201, A 108.162.232.202,
A 108.162.232.200, A 108.162.232.197, A 108.162.232.205, A 108.162.232.203, A 108.162.232.204
Dat zijn servers bij Cloudflare.

Op dit moment lijken zij allen hetzelfde OCSP antwoord te geven met daarin o.a. de volgende informatie:
thisUpdate: 2015-02-07 09:16:36 (UTC)
nextUpdate: 2015-02-11 09:16:36 (UTC)
en dat is verouderde informatie: dit OCSP bericht is ruim 5 dagen geleden gemaakt en ondertussen verlopen.

Dit geeft meteen het risico van het gebruik van Cloudflare servers voor dit doeleinde aan. Cloudflare cachet informatie van de servers waar zij "buffering" voor verzorgt. Kennelijk houdt niemand in de gaten dat Cloudflare geen data meer krijgt van Microsoft's OCSP server(s) waardoor gebruikers al 5 dagen verouderde en potentieel onjuiste informatie krijgen, en nu (pas) een foutmelding.
Reacties (6)
16-02-2015, 17:25 door Erik van Straten
Ben ik nou echt de enige die dit ziet?

Als ik http://technet.microsoft.com open, vindt een redirect plaats naar https://technet.microsoft.com - dus kennelijk ziet Microsoft het nut in van https i.p.v. http (prima).

Maar waarom hebben ze dan hun OCSP responders niet op orde?
ocsp.msocsp.com (CNAME hostedocsp.globalsign.com) met IP-adres 108.162.232.207 vertelt mij:
producedAt: 2015-02-11 09:19:19 (UTC)
thisUpdate: 2015-02-11 09:19:19 (UTC)
nextUpdate: 2015-02-15 09:19:19 (UTC)
Ontvangen: 2015-02-16 16:08:57 (UTC)
Wat heb ik daar nou aan?
16-02-2015, 17:43 door Anoniem
Hi there,

I can confirm that we have exactly the same issue here in Switzerland: The OCSP response is cached by CloudFlare and not valid anymore. It seems that nobody cares about certificate validation...

This issue is not only for technet but lots of other MS services like office.live.com or Skype!
16-02-2015, 20:08 door Anoniem
SSL Labs klaagt niet echt (behalve dan over SSL3,RC4, Forward secrecy geen TLS 1.2 en wat weak ciphers);

Common names technet.microsoft.com
Alternative names technet.microsoft.com server1.technet.microsoft.com server2.technet.microsoft.com server3.technet.microsoft.com
Prefix handling Not required for subdomains
Valid from Fri Aug 22 10:22:13 PDT 2014
Valid until Sun Aug 21 10:22:13 PDT 2016 (expires in 1 year and 6 months)
Key RSA 2048 bits (e 65537)
Weak key (Debian) No
Issuer Microsoft IT SSL SHA2
Signature algorithm SHA256withRSA
Extended Validation No
Revocation information CRL, OCSP
Revocation status Good (not revoked)
Trusted Yes
16-02-2015, 20:28 door Anoniem
Ik krijg ook sec_error_ocsp_old_response
16-02-2015, 21:16 door Erik van Straten
Dank voor de antwoorden / thanks for responding!

Op 12 februari heb ik Microsoft een mail gestuurd hierover (helaas geen antwoord ontvangen).
17-02-2015, 09:38 door Erik van Straten
Momenteel gaat het weer goed (geen foutmelding "sec_error_ocsp_old_response"):
OCSP response van 108.162.232.207:
producedAt: 2015-02-16 02:19:00 (UTC)
thisUpdate: 2015-02-16 02:19:00 (UTC)
nextUpdate: 2015-02-20 02:19:00 (UTC)
Ontvangen: 2015-02-17 08:31:13 (UTC)
Dat OCSP bericht is aangemaakt ruim voordat ik gisteren de foutmelding kreeg, dus ontving ik gisteren verouderde informatie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.