Security

在 Heartbleed 錯誤後切換 SSL 提供程序而不是撤銷

  • April 18, 2014

我對 Heartbleed 問題和 SSL 證書有疑問。關於 Heartbleed 很多人說管理員應該撤銷他們的證書並獲得新的證書。我從 Startcom 獲得了我的 SSL 證書,您可能知道他們會收取撤銷費用。我對此非常生氣,但知道我的問題: - 是否可以從 Startcom 切換到 Comodo 等其他提供商,獲取新證書並更改我伺服器上的證書?- 如果沒有被撤銷,舊證書會不會有任何問題?- 是否可以在我的伺服器(Ubuntu 12.04)上“阻止”這些舊證書?

我認為我的證書沒有受到損害,但這對我來說是一個嚴肅的話題。

我從 Startcom 獲得了我的 SSL 證書,您可能知道他們會收取撤銷費用。我對此非常生氣……

你希望他們做什麼——撤銷數十萬個證書?這將產生一個證書吊銷列表,一些攜帶式設備甚至無法放入它們的記憶體中。然後每次他們更新 CRL 時,每台設備,甚至是低頻寬網路上的設備,都必須重新下載大量列表。只是不實用。

是否可以從 Startcom 切換到 Comodo 等其他提供商,獲取新證書並更改我伺服器上的證書?

當然可以,但這有什麼幫助呢?攻擊者仍然可以使用舊證書冒充您的伺服器。

如果沒有被撤銷,舊證書會不會有任何問題?

是的,攻擊者可以使用它們來冒充您的伺服器。

是否可以在我的伺服器(Ubuntu 12.04)上“阻止”這些舊證書?

那會有什麼幫助?攻擊者不會將任何流量傳遞到您的伺服器,而是會自行干預。

所有這一切的結果是您的安全受到損害,您基本上無能為力。(雖然這是一個很小的妥協,因為它只能被積極的攻擊者利用,至少對用於訪問您的伺服器的網路有一定的控制權。此外,由於心臟出血,您可能會遇到更嚴重的妥協,其中許多是您可以和應該做點什麼。)

引用自:https://serverfault.com/questions/589884