<div dir="ltr">I'm getting a "revoked" OCSP response for the cert currently used by <a href="http://paypal.com">paypal.com</a>, but a good response for <a href="http://www.paypal.com">www.paypal.com</a>. The naked domain is using OCSP stapling and is serving an older valid response, which is probably why it's still working even on browsers that are configured to check for certificate revocation.<div><br></div><div>The two certificates are <a href="https://crt.sh/?id=7746738574">https://crt.sh/?id=7746738574</a> (revoked, used by <a href="http://paypal.com">paypal.com</a>) and <a href="https://crt.sh/?id=7754586913">https://crt.sh/?id=7754586913</a> (valid, used by <a href="http://www.paypal.com">www.paypal.com</a>). <div><br></div><div>-Alex</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Oct 14, 2022 at 5:14 PM George Herbert via Outages <<a href="mailto:outages@outages.org">outages@outages.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I get a good response now, with Produced At Oct 14 19:18:25 2022<br>
<br>
-george <br>
<br>
Sent from my iPhone<br>
<br>
> On Oct 14, 2022, at 2:43 PM, Chuck Anderson via Outages <<a href="mailto:outages@outages.org" target="_blank">outages@outages.org</a>> wrote:<br>
> <br>
> Firefox says:<br>
> <br>
> Secure Connection Failed<br>
> <br>
> An error occurred during a connection to <a href="http://paypal.com" rel="noreferrer" target="_blank">paypal.com</a>. Peer’s Certificate has been revoked.<br>
> <br>
> Error code: SEC_ERROR_REVOKED_CERTIFICATE<br>
> <br>
> OCSP checker says:<br>
> <br>
> <a href="https://www.certificatetools.com/ocsp-checker" rel="noreferrer" target="_blank">https://www.certificatetools.com/ocsp-checker</a><br>
> <br>
> Domain Name(s)    <a href="http://paypal.com" rel="noreferrer" target="_blank">paypal.com</a>, <a href="http://paypal-workplace.com" rel="noreferrer" target="_blank">paypal-workplace.com</a>, <a href="http://xoom-experience.com" rel="noreferrer" target="_blank">xoom-experience.com</a>, <a href="http://buyindiaonline.com" rel="noreferrer" target="_blank">buyindiaonline.com</a>, <a href="http://paypal-experience.com" rel="noreferrer" target="_blank">paypal-experience.com</a>, <a href="http://xoom.com" rel="noreferrer" target="_blank">xoom.com</a>, <a href="http://venmo-experience.com" rel="noreferrer" target="_blank">venmo-experience.com</a>, <a href="http://sandbox.paypal.com" rel="noreferrer" target="_blank">sandbox.paypal.com</a>, <a href="http://paypal.me" rel="noreferrer" target="_blank">paypal.me</a>, <a href="http://cash2india.com" rel="noreferrer" target="_blank">cash2india.com</a><br>
> OCSP URI    <a href="http://ocsp.digicert.com" rel="noreferrer" target="_blank">http://ocsp.digicert.com</a><br>
> Next Update    Oct 21 18:12:02 2022 GMT<br>
> This Update    Oct 14 18:57:02 2022 GMT<br>
> Cert Status    revoked<br>
> Produced At    Oct 14 19:13:05 2022 GMT<br>
> Response Type    Basic OCSP Response<br>
> OCSP Response Status  successful (0x0)<br>
> OpenSSL Command          openssl ocsp -sha1 -issuer ca.crt -cert cert.crt -header host=<a href="http://ocsp.digicert.com" rel="noreferrer" target="_blank">ocsp.digicert.com</a> -url <a href="http://ocsp.digicert.com" rel="noreferrer" target="_blank">http://ocsp.digicert.com</a> -text -CAfile ca.crt -no_nonce<br>
> _______________________________________________<br>
> Outages mailing list<br>
> <a href="mailto:Outages@outages.org" target="_blank">Outages@outages.org</a><br>
> <a href="https://puck.nether.net/mailman/listinfo/outages" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/outages</a><br>
_______________________________________________<br>
Outages mailing list<br>
<a href="mailto:Outages@outages.org" target="_blank">Outages@outages.org</a><br>
<a href="https://puck.nether.net/mailman/listinfo/outages" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/outages</a><br>
</blockquote></div>