Я должен обновить свой snakeoil сертификат после обновления openssl (heartbleed)?
Я никогда не видел, что любая компания использует общедоступного дюйм/с для их рабочих столов или внутренних серверов, и в эти дни это также очень редко для того, чтобы внешне стоять перед серверами (например, веб-серверы), чтобы иметь общедоступный IP-адрес - обычно они - NATed позади подсистем балансировки нагрузки, или еще чаще всего, являются виртуальными серверами в динамическом пуле сервера, даже действительно не существуйте.
NAT'ing не может быть до уровня всего внутреннего IP к одному внешнему, обычно существуют диапазоны, однако это - подавляющая норма для NAT'ing, который будет использоваться в одной форме или другом.
Нет, вам не нужно беспокоиться об их обновлении.
Это правда, что теперь, когда ошибка heartbleed (возможно) раскрыла ваш закрытый ключ, любая третья сторона на сетевом пути между вашими пользователями и вашим сервером («человек посередине») может видеть все данные в том виде, в каком они не были зашифрованный.
Однако для сертификатов snakeoil это не сильно отличается от обычного случая использования нескомпрометированных ключей, поскольку MITM-атака на не-CA сертификаты на практике столь же тривиальна . (обратите внимание, что между этими двумя проблемами безопасности есть техническая разница, но на практике они имеют одинаковый «вес», так что это не имеет большого значения в реальном мире)
Поскольку вы используете сертификаты snakeoil (вместо вашего собственного или какого-либо другого доверенного центра сертификации) и, по-видимому, игнорировать любые предупреждения на таких сертификатах, вы должны знать, что любые данные в таких SSL-соединениях на самом деле не более безопасны, чем соединение с открытым текстом. Сертификаты snakeoild предназначены только для того, чтобы вы технически тестировали соединения перед установкой реального сертификата (либо подписанного вашим собственным ЦС и в зависимости от вашего PKI - предпочтительно, но намного больше работы; либо доверие к некоему коммерческому ЦС и оплата меньшего объема работы, но ниже security)
Итак, в целом ошибка Heartbleed имеет два эффекта:
- разрешение случайного чтения из памяти; который исправляется в момент применения обновления безопасности
- , из-за которого вы не уверены, что ваши сертификаты SSL, подписанные CA, теперь (с точки зрения безопасности) так же бесполезны, как и сертификаты snakeoil (и поэтому должны быть регенерированы и повторно выпущены из надежного источника). И если вы изначально использовали snakeoil, это явно не проблема.
Предполагая, что вы (или клиенты, пользователи и т. Д.) Когда-либо передавали или будете передавать конфиденциальную информацию через SSL, да. Пароли, все остальное, что вы хотели зашифровать, потому что не хотели, чтобы это было в виде открытого текста. Да.
Если вам действительно все равно, могут ли эти вещи быть в открытом доступе в виде открытого текста, тогда не беспокойтесь.
Если вам все равно, не забудьте изменить свой закрытый ключ перед тем, как использовать новый. сертификат.
Ну, для начала Вам НЕ СЛЕДУЕТ использовать сертификат snakeoil .
Для того, чтобы должным образом смягчить сердечный приступ, вы ДОЛЖЕН ОТЗЫВАТЬ потенциально скомпрометированные сертификаты, чего обычно нельзя сделать с snakeoil или другими самоподписанными сертификатами.
Если вы не можете позволить себе сертификаты, выпущенные настоящим центром сертификации ( или вы работаете в частной среде) вам следует создать свой собственный центр сертификации и опубликовать соответствующий список отзыва сертификатов, чтобы вы могли предотвратить подобные компрометации (а также потерянные ключи и т. д.)
Я знаю, что это намного больше работы, но это правильный способ делать вещи.
Все, что сказано, Да - , вы должны заменить этот сертификат и ключ , если вы хотите обеспечить безопасность и целостность будущих коммуникаций, поэтому сейчас хорошее время либо переключиться на ключ, выданный известным центром сертификации, либо создать свой собственный внутренний CA .