Não, você não precisa se preocupar em atualizá-los.
É verdade que agora que o bug heartbleed (possivelmente) expôs sua chave privada, qualquer terceiro no caminho de rede entre seus usuários e seu servidor ("man in the middle") pode ver todos os dados como eles não estavam criptografado.
No entanto, para cerdos de cobra, isso não difere muito do uso regular de chaves não comprometidas, já que o ataque MITM em certificados não-CA é na prática igualmente trivial . (note que há uma diferença técnica entre esses dois problemas de segurança, mas na prática eles são do mesmo "peso", então isso não faz muita diferença no mundo real)
Como você está usando ceras de serpente (em vez de sua própria CA confiável) e presumivelmente ignorar quaisquer avisos em tais certificados, você deve estar ciente de que quaisquer dados em tais conexões SSL não são realmente mais seguros do que conexão de texto sem formatação. os certificados snakeoild são destinados apenas para você testar tecnicamente as conexões antes de instalar o certificado real (seja assinado por sua própria CA e dependendo de sua PKI - preferível, mas muito mais trabalho; ou colocando confiança em alguma CA comercial e pagando menos trabalho, mas menor segurança)
Então, em geral, o bug heartbleed tem dois efeitos:
- permitindo leitura aleatória de memória; que é corrigido no momento em que a atualização de segurança é aplicada
- fazendo com que você não tenha certeza se os certificados SSL assinados pela CA são tão seguros quanto à sua segurança, tão inúteis quanto os da SnakeOil (e, portanto, precisam ser regenerados e reemitidos de uma fonte confiável). E se você estava usando snakeoil em primeiro lugar, isso obviamente não é problema.