关于 openSSL heartbleed 问题和解决方案,我应该撤销或重新加密我现有的 SSL 证书吗?
问问题
6042 次
2 回答
7
因为私钥可能被泄露,您需要重新设置证书的密钥,而不是仅仅更新它,例如使用新的公钥/私钥对而不是更新一个。撤销受损证书也需要完成,如果您由同一 CA 创建新证书,这可能会自动完成,但您应该与颁发者 (CA) 核实。
请注意,浏览器中当前 PKI 结构的撤销过程很糟糕,例如有些不检查,有些忽略 OCSP 错误等。而且在浏览器之外(例如脚本、移动应用程序...)更糟糕。这就是为什么在 CA(Comodo、DigiNotar、FGC/A ...)的最后一次重大妥协或错误行为中,您总是得到一个新的浏览器版本 :(
于 2014-04-09T03:50:08.900 回答
3
一旦您解决了问题(升级了 openssl),您就可以重新键入您现有的 SSL 证书。
重新键入有效地颁发新证书,并且您的旧证书将被自动吊销。
撤销证书的另一个原因是证书上的信息(除了您的密钥)发生了变化。无论如何,这些信息都是公开的;它包含在颁发给任何连接的人的证书中。
当然,如果他们拥有您的私钥,则任何使用该私钥加密的信息也可能已被泄露 - 您可以考虑强制在相关期间登录的任何用户更改密码。尤其是管理员。
于 2014-04-08T23:50:23.697 回答