Я только что обновил свой сервер debian wheezy до последней версии пакета openssl, в котором исправлена ошибка heartbleed.
Я поддерживаю SSL на своем сервере, но только с сертификатом snakeoil. Мне просто было интересно, есть ли на самом деле какие-либо проблемы с безопасностью при обновлении сертификата snakeoil, или я могу просто оставить его как есть, потому что это все равно сертификат snakeoil?
Этот вопрос может возникнуть из-за того, что мне не хватает знаний о ssl ... но заранее спасибо за любые объяснения, если я должен изменить свой сертификат snakeoil, и если да, то почему :)
Ну для начала Вы НЕ ДОЛЖНЫ использовать snakeoil сертификат.
Чтобы должным образом смягчить сердечный приступ, вы ДОЛЖЕН ОТЗЫВ потенциально скомпрометированные сертификаты, с которыми обычно нельзя делать snakeoil или другие самоподписанные сертификаты.
Если вы не можете позволить себе сертификаты, выпущенные настоящим центром сертификации (или вы работаете в частной среде), вам следует настроить свой собственный центр сертификации и опубликовать соответствующий список отзыва сертификатов, чтобы вы могли предотвратить подобные компромиссы (а также потерянные ключи. , и т.д.)
Я знаю, что это намного больше работы, но это правильный способ делать вещи.
Все, что сказал, да - вы должны заменить этот сертификат и ключ если вы хотите обеспечить безопасность и целостность будущих коммуникаций, то сейчас самое время либо переключиться на ключ, выданный известным центром сертификации, либо создать собственный внутренний центр сертификации.
Нет, вам не нужно их обновлять.
Это правда, что теперь, когда ошибка heartbleed (возможно) раскрыла ваш закрытый ключ, любая третья сторона на сетевом пути между вашими пользователями и вашим сервером («человек посередине») может видеть все данные в том виде, в каком они не были зашифрованы.
Однако для сертификатов snakeoil это не сильно отличается от обычного случая использования нескомпрометированных ключей, поскольку MITM-атака на сертификаты, не относящиеся к CA, на практике столь же тривиальный. (обратите внимание, что между этими двумя проблемами безопасности есть техническая разница, но на практике они имеют одинаковый «вес», так что это не имеет большого значения в реальном мире)
Поскольку вы используете сертификаты snakeoil (вместо своего собственного или какого-либо другого доверенного центра сертификации) и, по-видимому, игнорируете любые предупреждения о таких сертификатах, вы должны знать, что любые данные в таких SSL-соединениях на самом деле не более безопасны, чем соединение с открытым текстом. Сертификаты snakeoild предназначены только для того, чтобы вы технически тестировали соединения перед установкой реального сертификата (либо подписанного вашим собственным CA и в зависимости от вашего PKI - предпочтительно, но намного больше работы; либо доверие к некоему коммерческому CA и оплата меньшего объема работы, но меньшего безопасность)
Итак, в целом ошибка Heartbleed имеет два эффекта:
Если предположить, что вы (или клиенты, пользователи и т. Д.) Когда-либо передавали или будете передавать конфиденциальную информацию через SSL, да. Пароли, все, что вы разыскивается зашифровано, потому что вы не хотели использовать его в виде открытого текста. Да.
Если вам действительно все равно, могут ли эти вещи быть в открытом доступе в виде открытого текста, тогда не беспокойтесь.
Если вам все равно, не забудьте изменить свой закрытый ключ перед установкой нового сертификата.