Нужно ли обновлять сертификат snakeoil после обновления openssl (heartbleed)?
8
Я только что обновил свой сервер Debian Wheezy до последней версии пакета openssl, в которой исправлена ошибка heartbleed.
Я поддерживаю SSL на моем сервере, но только с сертификатом snakeoil. Мне просто интересно, есть ли на самом деле какие-либо опасения по поводу обновления сертификата змеиной нефти, или я могу просто оставить его как есть, потому что это сертификат змеиной нефти в любом случае?
Этот вопрос может возникнуть из-за недостатка знаний о ssl ... но заранее спасибо за любые объяснения, если я должен изменить свой сертификат змеиной нефти, и если да, то почему :)
Это правда, что теперь, когда ошибка сердечного ритма (возможно) раскрыла ваш закрытый ключ, любая третья сторона на сетевом пути между вашими пользователями и вашим сервером («человек посередине») может видеть все данные, если они не были зашифрованы.
Однако для сертификатов snakeoil это мало чем отличается от обычного варианта использования не скомпрометированных ключей, поскольку атака MITM на сертификаты не-CA на практике одинаково тривиальна . (обратите внимание, что между этими двумя проблемами безопасности есть техническая разница, но на практике они имеют одинаковый «вес», так что в реальном мире это не имеет большого значения)
Поскольку вы используете сертификаты snakeoil (вместо своего собственного или какого-либо другого доверенного ЦС) и, следовательно, по-видимому, игнорируете любые предупреждения на таких сертификатах, вы должны знать, что любые данные на таких соединениях SSL на самом деле не более безопасны, чем соединения с открытым текстом. Сертификаты snakeoild предназначены только для того, чтобы вы технически протестировали соединения перед установкой реального сертификата (либо подписанного вашим собственным центром сертификации, в зависимости от вашей PKI - желательно, но с большей нагрузкой, либо доверяющего некоторому коммерческому центру сертификации и платящего за меньшую работу, но меньшую. безопасность)
Так что в целом сердечная ошибка имеет два эффекта:
разрешение случайного чтения из памяти; который фиксируется в момент применения обновления безопасности
заставляя вас сомневаться в том, что ваши SSL-сертификаты, подписанные CA, теперь (с точки зрения безопасности) столь же бесполезны, как и snakeoil-сертификаты (и поэтому должны быть восстановлены и переизданы из надежного источника). И если вы использовали snakeoil в первую очередь, это, очевидно, не проблема.
+1 для части «Ваше соединение в настоящее время равно
обычному тексту
13
Ну, для начала Вы НЕ ДОЛЖНЫ использовать snakeoilсертификат .
Чтобы должным образом смягчить атаку с сердечным кровотечением, вы ДОЛЖНЫ ОТЗЫВАТЬ потенциально скомпрометированные сертификаты, которые вы обычно не можете сделать, snakeoilили другие самозаверяющие сертификаты.
Если вы не можете позволить себе настоящие сертификаты, выданные центром сертификации (или вы работаете в частной среде), вам следует создать собственный ЦС и опубликовать соответствующий список отзыва сертификатов, чтобы можно было минимизировать подобные компромиссы (а также потерянные ключи). и т. д.)
Я знаю, что это намного больше работы, но это правильный способ делать вещи.
Все, что сказал, да - вы должны заменить этот сертификат и ключ, если вы хотите обеспечить безопасность и целостность будущих сообщений, так что сейчас хорошее время, чтобы либо переключиться на ключ, выданный известным центром сертификации, либо создать свой собственный внутренний СА .
спасибо за указание на отсутствие безопасности snakeoil или других самозаверяющих сертификатов!
Preexo
5
Предполагая, что вы (или клиенты, пользователи и т. Д.) Когда-либо передавали или передадите конфиденциальную информацию по SSL, да. Пароли, все остальное, что вы хотели зашифровать, потому что вы не хотели это в открытом тексте. Да.
Если вы действительно не заботитесь о том, что эти вещи могут быть в дикой природе, как текст, то не делайте этого.
Если вам все равно, не забудьте поменять свой закрытый ключ, прежде чем ставить новый сертификат.
Ну, для начала Вы НЕ ДОЛЖНЫ использовать
snakeoil
сертификат .Чтобы должным образом смягчить атаку с сердечным кровотечением, вы ДОЛЖНЫ ОТЗЫВАТЬ потенциально скомпрометированные сертификаты, которые вы обычно не можете сделать,
snakeoil
или другие самозаверяющие сертификаты.Если вы не можете позволить себе настоящие сертификаты, выданные центром сертификации (или вы работаете в частной среде), вам следует создать собственный ЦС и опубликовать соответствующий список отзыва сертификатов, чтобы можно было минимизировать подобные компромиссы (а также потерянные ключи). и т. д.)
Я знаю, что это намного больше работы, но это правильный способ делать вещи.
Все, что сказал, да - вы должны заменить этот сертификат и ключ, если вы хотите обеспечить безопасность и целостность будущих сообщений, так что сейчас хорошее время, чтобы либо переключиться на ключ, выданный известным центром сертификации, либо создать свой собственный внутренний СА .
источник
Предполагая, что вы (или клиенты, пользователи и т. Д.) Когда-либо передавали или передадите конфиденциальную информацию по SSL, да. Пароли, все остальное, что вы хотели зашифровать, потому что вы не хотели это в открытом тексте. Да.
Если вы действительно не заботитесь о том, что эти вещи могут быть в дикой природе, как текст, то не делайте этого.
Если вам все равно, не забудьте поменять свой закрытый ключ, прежде чем ставить новый сертификат.
источник