У меня вопрос относительно проблемы Heartbleed и сертификатов SSL. О Heartbleed многие говорят, что администраторам следует отозвать свои сертификаты и получить новые. Я получил свои сертификаты SSL от Startcom, и, как вы знаете, они взимают плату за отзыв. Я очень зол на это, но знаю свой вопрос (ы): - Можно ли просто переключиться со Startcom на другого провайдера, например Comodo, получить новые сертификаты и изменить сертификаты на моем сервере? - Могут ли быть проблемы со старыми сертификатами, если они не отзываются? - Можно ли «заблокировать» эти старые сертификаты на моем сервере (Ubuntu 12.04)?
Я не думаю, что мои сертификаты были скомпрометированы, но для меня это серьезная тема.
Я получил свои сертификаты SSL от Startcom, и, как вы знаете, они взимают плату за отзыв. Я очень зол на это ...
Что бы вы предпочли - отозвать сотни тысяч сертификатов? Это приведет к созданию списка отозванных сертификатов, который некоторые портативные устройства даже не смогут уместить в своей памяти. А затем каждый раз, когда они обновляли свой CRL, каждое устройство, даже находящееся в сетях с низкой пропускной способностью, должно было повторно загружать огромный список. Это просто непрактично.
Можно ли просто переключиться со Startcom на другого провайдера, такого как Comodo, получить новые сертификаты и изменить сертификаты на моем сервере?
Конечно, но как это поможет? Злоумышленник может выдать себя за ваш сервер, используя старые сертификаты.
Могут ли быть проблемы со старыми сертификатами, если они не отзываются?
Да, злоумышленник может использовать их, чтобы выдать себя за ваш сервер.
Можно ли «заблокировать» эти старые сертификаты на моем сервере (Ubuntu 12.04)?
Как это поможет? Злоумышленник не будет передавать трафик на ваш сервер, а вместо этого вмешается.
Результатом всего этого является то, что ваша безопасность скомпрометирована, и вы практически ничего не можете с этим поделать. (Хотя это довольно незначительный компромисс, потому что он может быть использован только активным злоумышленником с хотя бы некоторым контролем над сетью, используемой для доступа к вашему серверу. Кроме того, у вас могут быть более серьезные компромиссы из-за heartbleed, и многие из них вы можете и должен что-то делать.)