Влияет ли ошибка Heartbleed в OpenSSL на ВСЕ сертификаты SSL

2890
bwright

Влияет ли ошибка Heartbleed в OpenSSL на ВСЕ SSL-сертификаты, независимо от того, где я приобрел или я сам-сертифицировал?

Например, если я купил SSL-сертификат у GoDaddy и установил его на своем сервере, следуя их руководству по Apache ( http://support.godaddy.com/help/article/5238/install-an-ssl-certificate-in-apache ), это уязвимо для эксплуатации через Heartbleed?

3
Если сертификат использовался в ситуации, когда он использовался до того, как был исправлен OpenSSL, тогда сочтите сертификат бесполезным и отзовите его. Ramhound 10 лет назад 1

1 ответ на вопрос

7
Tero Kilkanen

The bug has no relation to certificates themselves. The bug is in the implementation of OpenSSL library, which makes it possible for malicious attacker to retrieve the private key of the server and other confidential information.

With the private key, the attacker can impersonate your web site, and possibly eavesdrop the traffic between your server and the client

So, if your server had a vulnerable version of the OpenSSL library, your private key might have been leaked and it is safest to regenerate the private key and get new corresponding certificates.

Итак, если предположить, что у вас ранее была уязвимая версия OpenSSL и вы приобрели сертификат у GoDaddy, то идеальным способом восстановления своего сервера было бы установить обновленную версию Open SSL, а затем повторно подписать и переустановить сертификат? bwright 10 лет назад 1
Да, регенерировать закрытый ключ и получить соответствующий сертификат - самое безопасное, что нужно сделать после устранения уязвимости. Tero Kilkanen 10 лет назад 2
Да; отозвать текущий сертификат, выдать новый Ramhound 10 лет назад 1
Отзыв также является ключевым шагом. Без отзыва, если злоумышленник атаковал ваш сервер, он может продолжать использовать сертификат, который он украл, чтобы выдать себя за ваш сайт. heavyd 10 лет назад 1

Похожие вопросы