Я знаю, что вы можете показать версию openssl, которую используете, набрав в командной строке следующее «openssl version».
Некоторое время назад я создал сертификат и ключ с именами, похожими на server.cer и server.key.
Проблема в том, что я не уверен, с какой версией openssl они были созданы. Есть ли команда, которую вы можете использовать, чтобы узнать, с какой версией openssl они были созданы? Хранят ли сертификаты и ключи эту информацию.
Я пытаюсь подтвердить, уязвимы ли они для проблемы безопасности openssl heartbleed.
Сертификат не уязвим для сердечного приступа. Сертификат - это просто сертификат. В прошлом были проблемы с криптографией, особенно в отношении выбранного ГСЧ, из-за которых создавались слабые ключи (и, следовательно, уязвимые сертификаты), но heartbleed не является уязвимостью этого типа.
Пара ключ / сертификат могла быть скомпрометирована из-за heartbleed, независимо от версии OpenSSL, с которой она была создана, или даже если она была создана совершенно другой реализацией SSL, если она использовалась на сервере, который предлагал публичные услуги TLS с использованием уязвимой версии OpenSSL.
Если он не использовался таким образом, он не мог быть скомпрометирован heartbleed, даже если он был создан на сервере, на котором в то время работала уязвимая версия OpenSSL.
(Теперь о том, что жизнь сложнее, чем вам хотелось бы: если вы создали пару ключ / сертификат (или пару ключ / CSR) на сервере и на этом сервере в то время была запущена уязвимая версия OpenSSL и вы были подключены к этому серверу с помощью метода, уязвимого для эксплойтов (например, OpenVPN, но не OpenSSH) и вы предоставили содержимое созданного ключевого файла потоку подключения, например, путем добавления файла в файл или путем его копирования через соединение, затем возможно, сертификат был скомпрометирован. Но это все еще не уязвимость в свидетельство как таковой, и его нельзя обнаружить при проверке сертификата (или каким-либо другим способом, насколько мне известно).