Переключение поставщика SSL после Heartbleed вместо отмены

Question

Переключение поставщика SSL после Heartbleed вместо отмены

У меня есть вопрос, касающийся проблемы Heartbleed и SSL-сертификатов. О Heartbleed многие говорят, что администраторы должны отозвать свои сертификаты и получить новые. Я получил свои сертификаты SSL от Startcom, и, как вы знаете, они взимают плату за отзыв. Я очень рассержен на это, но знаю свой вопрос (ы): - Можно ли просто переключиться с Startcom на другого провайдера, такого как Comodo, получить новые сертификаты и изменить сертификаты на моем сервере? - Могут ли быть проблемы со старыми сертификатами, если они не отменяются? - Можно ли "заблокировать" эти старые сертификаты на моем сервере (Ubuntu 12.04)?

Я не думаю, что мои сертификаты были скомпрометированы, но это серьезная тема для меня.

Заранее спасибо за ваши идеи и комментарии.

-1

ubuntu ssl openssl ssl-certificate heartbleed-bug

Источник

user1203515 18 апр '14 в 05:47

2 ответа

Другие вопросы по тегам ubuntu ssl openssl ssl-certificate heartbleed-bug

user207421 18 апр '14 в 06:35 2014-04-18 06:35 · Answer 1 · 2014-04-18 06:35

Они взимают плату за отзыв

Так? Предположительно, вы знали об этом, когда заключали договор. Они имеют право взимать плату за свои услуги.

Можно ли просто переключиться с Startcom на другого провайдера, такого как Comodo, получить новые сертификаты и изменить сертификаты на моем сервере?

Конечно, почему нет? Просто заплатите им деньги, что они хотят. Убедитесь в том, чтобы повторно ввести ключ. Вы должны предположить, что ваш закрытый ключ был взломан.

Могут ли быть проблемы со старыми сертификатами, если они не отменяются?

Если вы продолжаете использовать их, вы больше не можете предполагать, что они идентифицируют ваш сайт из-за возможной утечки секретного ключа. Прекратите их использование, удалите их с вашего сервера, удалите также закрытый ключ. Начните снова.

Можно ли "заблокировать" эти старые сертификаты на моем сервере (Ubuntu 12.04)?

Просто перестань их использовать. Удалите их с вашего сервера.

Если кто-то еще представляет их на вашем сервере как свой собственный, это еще одна проблема, и определенное доказательство как утечки личного ключа, так и криминального олицетворения, поэтому для этой цели вы можете захотеть сохранить где-нибудь свой личный ключ и сертификаты в архиве, добавьте их в свой отзыв. список клиентских сертификатов, независимо от того, какие средства предоставляет ваш сервер.

Но я бы официально отозвал их. Заплати деньги. Это не то, что вы хотите сэкономить.

user2580516 18 апр '14 в 07:57 2014-04-18 07:57 · Answer 2 · 2014-04-18 07:57

Уязвимость от переключения сертификатов, но неспособности отозвать старые сертификаты, состоит в том, что кто-то еще, кто получил ваш закрытый ключ через ошибку heartbleed, мог выдать себя за ваш сервер, представив ваш старый сертификат на своем сервере, например, при атаке "человек посередине"., Вам решать, хотите ли вы воспользоваться этим шансом, но я бы порекомендовал отозвать старый сертификат.