heartbleed - отозвать или изменить ключ SSL-сертификат?
Что касается проблемы и разрешения openSSL, нужно ли мне отзывать или повторно вводить мой существующий сертификат SSL?
2 ответа
После того, как вы исправили проблему (обновил openssl), вы можете повторно ввести существующий сертификат SSL.
Повторный набор ключей эффективно выдает новый сертификат, и ваш старый сертификат будет автоматически отозван.
Другая причина для отзыва вашего сертификата, если информация в сертификате (кроме ваших ключей) изменяется. Эта информация в любом случае является общедоступной; он включен в сертификат, который выдается всем, кто подключается.
Конечно, если у них есть ваш закрытый ключ, любая информация, зашифрованная с помощью этого закрытого ключа, также может быть скомпрометирована - вы можете рассмотреть вопрос о принудительном изменении пароля для всех пользователей, которые вошли в указанный период. Особенно администраторы.
Поскольку закрытый ключ может быть скомпрометирован, вам необходимо повторно ввести сертификат вместо простого его обновления, например, использовать новую пару открытого / закрытого ключа вместо ее обновления. Необходимо также отозвать скомпрометированный сертификат, что может быть сделано автоматически, если вы создаете новый сертификат с помощью того же ЦС, но вам следует проверить это с эмитентом (ЦС).
Обратите внимание, что процесс отзыва текущей структуры PKI в браузерах плох, например, некоторые не проверяют, некоторые игнорируют ошибки OCSP и т. Д. И это хуже вне браузеров (например, скрипты, мобильные приложения...). Вот почему в последние крупные компромиссы или неправильное поведение CA (Comodo, DigiNotar, FGC/A ...) вы всегда получали новую версию браузера:(