Tôi có phải cập nhật chứng chỉ snoil của mình sau khi cập nhật openssl (heartbleed) không?


8

Tôi vừa cập nhật máy chủ whianzy debian của tôi lên phiên bản mới nhất của gói openssl đã sửa lỗi lỗi.

Tôi hỗ trợ SSL trên máy chủ của mình, nhưng chỉ với chứng chỉ rắn. Tôi chỉ tự hỏi liệu thực sự có bất kỳ mối quan tâm bảo mật nào về việc cập nhật chứng nhận rắn hay không hoặc tôi có thể để nó như vậy bởi vì dù sao đó cũng là chứng nhận rắn?

Câu hỏi này có thể đến từ sự thiếu hiểu biết của tôi về ssl ... nhưng cảm ơn trước về bất kỳ lời giải thích nào nếu tôi nên thay đổi chứng nhận rắn và nếu có, tại sao :)

Câu trả lời:


8

Không, bạn không cần phải cập nhật chúng.

Đúng là bây giờ, lỗi nghiêm trọng (có thể) đã làm lộ khóa riêng của bạn, bất kỳ bên thứ ba nào trên đường dẫn mạng giữa người dùng và máy chủ của bạn ("người đứng giữa") có thể thấy tất cả dữ liệu vì nó không được mã hóa.

Tuy nhiên, đối với các trường hợp rắn, điều đó không khác nhiều so với trường hợp sử dụng thông thường của các khóa không bị xâm phạm, vì cuộc tấn công MITM vào các chứng chỉ không phải CA thực tế là không đáng kể . (lưu ý rằng có một sự khác biệt về thời gian giữa hai vấn đề bảo mật đó, nhưng trên thực tế chúng có cùng "trọng lượng", do đó không tạo ra nhiều khác biệt trong thế giới thực)

Vì bạn đang sử dụng ceroil (thay vì của riêng bạn hoặc một số CA đáng tin cậy khác) và do đó có lẽ bỏ qua mọi cảnh báo trên các chứng chỉ đó, bạn nên lưu ý rằng mọi dữ liệu trên các kết nối SSL đó thực sự không an toàn hơn kết nối văn bản. certs rắn chỉ nhằm mục đích kiểm tra kỹ thuật các kết nối trước khi cài đặt chứng chỉ thực (được ký bởi CA của chính bạn và tùy thuộc vào PKI của bạn - tốt hơn nhưng cách làm việc nhiều hơn hoặc đặt niềm tin vào một số CA thương mại và trả tiền cho công việc ít hơn nhưng thấp hơn Bảo vệ)

Vì vậy, nói chung lỗi có hai tác dụng:

  1. cho phép đọc bộ nhớ ngẫu nhiên; được khắc phục ngay khi áp dụng bản cập nhật bảo mật
  2. làm cho bạn không chắc chắn nếu các chứng chỉ SSL có chữ ký CA của bạn bây giờ (thông minh về bảo mật) không có giá trị như các trò lừa đảo (và do đó phải được tái tạo và phát hành lại từ nguồn đáng tin cậy). Và nếu bạn đang sử dụng snoil ở nơi đầu tiên, đó rõ ràng là không vấn đề.

6
+1 cho phần "kết nối của bạn hiện bằng với dù sao đi nữa"
PlasmaHH

13

Chà, đối với người mới bắt đầu Bạn KHÔNG NÊN sử dụng snakeoilchứng chỉ .

Để đúng cách giảm thiểu các cuộc tấn công heartbleed bạn PHẢI REVOKE giấy chứng nhận có khả năng bị tổn thương, mà bạn thường không thể làm với snakeoilhoặc Certs self-signed khác.

Nếu bạn không đủ khả năng cấp chứng chỉ được cấp bởi Cơ quan cấp chứng chỉ (hoặc bạn đang làm việc trong môi trường riêng tư), bạn nên thiết lập CA của riêng mình và xuất bản Danh sách thu hồi chứng chỉ phù hợp để bạn có thể giảm thiểu các thỏa hiệp như thế này (cũng như các khóa bị mất , v.v.)
Tôi biết đó là công việc nhiều hơn, nhưng đó là cách đúng đắn để làm mọi việc.


Tất cả những gì đã nói, - bạn phải thay thế chứng chỉ và khóa này nếu bạn muốn đảm bảo tính bảo mật và tính toàn vẹn của các liên lạc trong tương lai, vì vậy bây giờ là thời điểm tốt để chuyển sang khóa do Cơ quan Chứng nhận đã biết hoặc để thiết lập khóa của bạn CA nội bộ .


1
cảm ơn vì đã chỉ ra về việc thiếu an ninh của rắn hoặc các loại giấy tự ký khác!
Preexo

5

Giả sử rằng bạn (hoặc khách hàng, người dùng, v.v.) đã từng vượt qua hoặc sẽ vượt qua, thông tin nhạy cảm qua SSL, vâng. Mật khẩu, bất cứ điều gì khác mà bạn muốn được mã hóa bởi vì bạn không muốn nó ở bản rõ. Đúng.

Nếu bạn thực sự không quan tâm nếu những thứ đó có khả năng trong tự nhiên như bản rõ, thì không.

Nếu bạn quan tâm, đừng quên thay đổi khóa riêng trước khi cấp chứng chỉ mới.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.