Tenho que atualizar meu certificado de serpente após atualizar o openssl (heartbleed)?

8

Acabei de atualizar meu servidor debian wheezy para a versão mais recente do pacote openssl que possui o bug heartbleed corrigido.

Eu suporto SSL no meu servidor, mas apenas com um certificado de cobra. Eu estava me perguntando se realmente há alguma preocupação com a segurança de atualizar o certificado snakeoil também ou posso simplesmente deixá-lo como está, porque é um certificado de serpente mesmo assim?

Esta pergunta pode vir do meu desconhecimento sobre SSL ... mas agradeço antecipadamente por qualquer explicação se eu deveria mudar o meu certificado de cobra e se sim, por que:)

    
por Preexo 09.04.2014 / 19:12

3 respostas

7

Não, você não precisa se preocupar em atualizá-los.

É verdade que agora que o bug heartbleed (possivelmente) expôs sua chave privada, qualquer terceiro no caminho de rede entre seus usuários e seu servidor ("man in the middle") pode ver todos os dados como eles não estavam criptografado.

No entanto, para cerdos de cobra, isso não difere muito do uso regular de chaves não comprometidas, já que o ataque MITM em certificados não-CA é na prática igualmente trivial . (note que há uma diferença técnica entre esses dois problemas de segurança, mas na prática eles são do mesmo "peso", então isso não faz muita diferença no mundo real)

Como você está usando ceras de serpente (em vez de sua própria CA confiável) e presumivelmente ignorar quaisquer avisos em tais certificados, você deve estar ciente de que quaisquer dados em tais conexões SSL não são realmente mais seguros do que conexão de texto sem formatação. os certificados snakeoild são destinados apenas para você testar tecnicamente as conexões antes de instalar o certificado real (seja assinado por sua própria CA e dependendo de sua PKI - preferível, mas muito mais trabalho; ou colocando confiança em alguma CA comercial e pagando menos trabalho, mas menor segurança)

Então, em geral, o bug heartbleed tem dois efeitos:

  1. permitindo leitura aleatória de memória; que é corrigido no momento em que a atualização de segurança é aplicada
  2. fazendo com que você não tenha certeza se os certificados SSL assinados pela CA são tão seguros quanto à sua segurança, tão inúteis quanto os da SnakeOil (e, portanto, precisam ser regenerados e reemitidos de uma fonte confiável). E se você estava usando snakeoil em primeiro lugar, isso obviamente não é problema.
por 10.04.2014 / 01:45
13

Bem, para iniciantes Você NÃO DEVE usar um snakeoil cert .

Para mitigar adequadamente o ataque heartbleed, você DEVE REVOGAR os certificados potencialmente comprometidos, o que geralmente não é possível com snakeoil ou outros certificados auto-assinados.

Se você não puder pagar certificados reais emitidos pela Autoridade de Certificação (ou estiver trabalhando em um ambiente privado), deverá configurar sua própria autoridade de certificação e publicar uma Lista de Certificados Revogados adequada para que possa mitigar compromissos como esse (bem como chaves perdidas, etc.)
Eu sei que é muito mais trabalho, mas é o jeito certo de fazer as coisas.

Tudo o que foi dito, Sim - você deve substituir este certificado e chave se quiser garantir segurança e integridade das comunicações futuras, então agora é um bom momento para alternar para uma chave emitida por uma Autoridade de Certificação conhecida ou para estabeleça sua própria CA interna .

    
por 09.04.2014 / 21:06
5

Assumindo que você (ou clientes, usuários, etc) já passaram ou passarão informações confidenciais sobre SSL, sim. Senhas, qualquer outra coisa que você queria criptografada porque você não a queria em texto simples. Sim.

Se você realmente não se importa se essas coisas estão potencialmente em estado selvagem como texto simples, então não se importe.

Se você se importa, não se esqueça de alterar sua chave privada antes de colocar o novo certificado.

    
por 09.04.2014 / 19:23