我只是将我的debian wheezy服务器更新到最新版本的openssl软件包,它已修复了心跳错误。
我确实在我的服务器上支持SSL,但只能使用snakeoil证书。 我只是想知道是否实际上有任何安全问题关于更新snakeoil证书,或者我可以离开它,因为它是反正snakeoil证书?
这个问题可能来自我对ssl缺乏的知识……但是如果我要改变我的snakeoil证书,提前感谢任何解释,如果是的话,为什么:)
不,你不需要费心去更新它们。
诚然,现在可能已经暴露了你的私钥,可能的情况是,你的用户和服务器之间的networkingpath上的任何第三方(“中间人”)都可以看到所有的数据,因为它没有被encryption。
但是,对于snakeoil证书而言,这与正常使用情况下的非妥协密钥没有多大区别,因为MITM对非CA证书的攻击在实践中同样微不足道 。 (请注意,这两个安全问题之间存在着技术上的差异,但实际上它们具有相同的“权重”,所以在现实世界中没有太大的差别)
由于您正在使用snakeoil证书(而不是您自己的或其他可信CA),所以可能会忽略此类证书上的任何警告,您应该知道,此类SSL连接上的任何数据实际上都不比纯文本连接更安全。 snakeoild证书的目的只是为了在安装真正的证书之前技术上testing连接(要么由您自己的CA签名,要么取决于您的PKI – 更好的办法,更多的工作;或者相信一些商业CA,付出更less的工作,安全)
所以总的来说,心跳错误有两个影响:
那么,对于初学者, 你不应该使用snakeoil证书 。
为了正确地减轻心脏病发作,你必须撤销可能被破坏的证书,这通常是你不能用snakeoil或其他自snakeoil 。
如果您无法负担真正的证书颁发机构颁发的证书(或者您正在私人环境中工作),您应该设置您自己的CA并发布适当的证书吊销列表,以便您可以减轻这样的妥协(以及丢失的密钥等)
我知道这是更多的工作,但这是做事的正确方法。
所有这一切都说, 是的 – 如果你想确保未来通信的安全性和完整性, 你必须更换证书和密钥 ,所以现在是切换到已知证书颁发机构颁发的密钥或build立自己的密钥的好时机内部CA。
假设你(或客户,用户等)已经通过或通过SSL的敏感信息,是的。 密码,任何你想encryption的东西,因为你不需要它的明文。 是。
如果你真的不在乎这些东西是否可能像明文一样疯狂,那么就不要这样做。
如果你照顾的话,不要忘记更换你的私钥,然后再装上新的证书。