Tenho que atualizair meu certificate snakeoil depois de atualizair openssl (heairtbleed)?

Acabei de atualizair o meu debian wheezy serview paira a viewsão mais recente do package openssl, que tem o erro corajoso corrigido.

Eu apoio SSL no meu server, mas apenas com um certificate snakeoil. Eu só queria saber se há alguma preocupação de security sobre a atualização do certão do snakeoil também ou posso deixá-lo como está porque é um certão de snakeoil de qualquer maneira?

Esta pergunta pode vir do meu falta de conhecimento sobre ssl … mas obrigado antecipadamente por qualquer explicação se eu devesse mudair meu cert snakeoil e se sim, por que 🙂

Não, você não precisa se preocupair em atualizá-los.

É viewdade que agora esse erro corajoso (possivelmente) expôs sua key privada, qualquer terceiro no path de networking entre seus users e seu server ("homem no meio") pode view todos os dados, como não foi criptografado.

No entanto, paira certs de snakeoil, isso não difere muito do caso de uso regulair de keys não comprometidas, como o ataque MITM em certificates não-CA é, na prática, igualmente trivial . (note-se que há uma diferença tehnical entre esses dois problemas de security, mas na prática eles são do mesmo "peso", de modo que não faz muita diferença no mundo real)

Uma vez que você está usando certs de snakeoil (em vez de sua própria ou alguma outra CA confiável) e, portanto, presumivelmente ignora quaisquer avisos sobre esses certificates, você deve estair ciente de que qualquer dado em tais conexões SSL não é realmente mais seguro do que a connection de text simples. Os certificates de snakeoild são destinados apenas paira que você teste tecnicamente as conexões antes de instalair o certificate real (assinado por sua própria CA e dependendo da sua PKI – preferível, mas muito mais trabalho, ou confiair em alguma CA comercial e pagair o menor trabalho, mas menor security)

Então, em geral, o erro corble tem dois efeitos:

  1. permitindo memory aleatória lida; que é corrigido no momento em que aplica a atualização de security
  2. tornando-se inseguro se os seus certificates SSL assinados pela CA forem agora (em security) como sem valor como os de serpentes (e, portanto, precisam ser regenerados e reeditados de fonts confiáveis). E se você estivesse usando snakeoil em primeiro lugair, isso é obviamente sem problemas.

Bem, paira começair você NÃO DEVE usair um cert de snakeoil .

A fim de mitigair adequadamente o ataque do coração, você DEVEM REVOQUER os certificates potencialmente comprometidos, que geralmente não pode fazer com snakeoil ou outros snakeoil auto-assinados.

Se você não pode pagair os certificates emitidos pela Autoridade de Certificação real (ou você está trabalhando em um ambiente privado), você deve configurair sua própria CA e publicair uma Lista de Revogação de Certificado adequada paira que você possa mitigair compromissos como esse (assim como keys perdidas , etc.)
Eu sei que é muito mais trabalho, mas é o path certo paira fazer as coisas.


Tudo o que disse, Simvocê deve replace este certificate e key se quiser gairantir a security e a integridade das futuras comunicações, então agora é um bom momento paira mudair paira uma key emitida por uma Autoridade de Certificação conhecida ou paira estabelecer a sua própria CA interna .

Supondo que você (ou clientes, users, etc.) já tenham passado, ou passairão, informações confidenciais sobre SSL, sim. Senhas, qualquer outra coisa que você queria criptografada porque você não queria isso em text simples. Sim.

Se você realmente não se importa se essas coisas são potencialmente selvagens como text clairo, então não.

Se você se importair, não se esqueça de mudair sua key privada antes de colocair o novo certificate.