我有一个关于Heartbleed问题和SSL证书的问题。 关于Heartbleed,很多人都说pipe理员应该撤消他们的证书并获得新的证书。 我从Startcom获得了我的SSL证书,而且您可能知道他们将收取撤消费用。 我非常生气,但知道我的问题: – 是否有可能从Startcom切换到另一个提供商像Comodo,获得新的证书,并改变我的服务器上的证书? – 如果旧证书没有被撤销,可能会遇到任何问题吗? – 是否可以“阻止”我的服务器上的这些旧证书(Ubuntu 12.04)?
我认为我的证书没有被妥协,但这对我来说是一个严肃的话题。
我从Startcom获得了我的SSL证书,而且您可能知道他们将收取撤销费用。 我对此非常生气
你更喜欢他们做什么 – 撤销成千上万的证书? 这将产生一个证书撤销清单,一些便携式设备甚至无法适应他们的记忆。 然后每次更新CRL时,每个设备,甚至那些低带宽networking上的设备,都将不得不重新下载大量的列表。 这是不实际的。
是否有可能从Startcom切换到像Comodo这样的其他提供者,获得新的证书并在我的服务器上更改证书?
当然,但是如何帮助? 攻击者仍然可以使用旧的证书模拟您的服务器。
如果旧证书没有被撤销,可能会存在任何问题吗?
是的,攻击者可以使用它们冒充你的服务器。
是否有可能“阻止”我的服务器上的这些旧证书(Ubuntu 12.04)?
这将如何帮助? 攻击者不会将任何stream量传递给您的服务器,而是会自行插入。
所有这一切的结果是,你的安全是妥协的,基本上你无能为力。 (虽然这是一个相当小的妥协,因为它只能被一个主动的攻击者利用,至less有一些控制networking访问你的服务器的权限。另外,你可能会有更严重的妥协,应该做点什么。)