openSSL ハートブリードの問題と解決策に関して、既存の SSL 証明書を取り消すか、キーを再設定する必要がありますか?
6042 次
2 に答える
7
秘密鍵が危険にさらされる可能性があるため、証明書を更新するだけでなく、鍵を再設定する必要があります。たとえば、証明書を更新する代わりに、新しい公開鍵と秘密鍵のペアを使用します。侵害された証明書の取り消しも行う必要があります。これは、同じ CA によって新しい証明書を作成すると自動的に行われる可能性がありますが、発行者 (CA) に確認する必要があります。
ブラウザの現在の PKI 構造の取り消しプロセスは悪いことに注意してください。たとえば、チェックしないものもあれば、OCSP エラーを無視するものもあります。また、ブラウザの外部 (スクリプト、モバイル アプリなど) ではさらに悪化します。そのため、CA (Comodo、DigiNotar、FGC/A ...) の最近の大きな妥協や間違った動作では、常に新しいブラウザー バージョンを取得していました :(
于 2014-04-09T03:50:08.900 に答える
3
問題を修正したら (openssl をアップグレード)、既存の SSL 証明書のキーを再設定できます。
再キーイングは効果的に新しい証明書を発行し、古い証明書は自動的に取り消されます。
証明書を取り消すもう 1 つの理由は、証明書の情報 (キー以外) が変更された場合です。とにかく、この情報は公開されています。これは、接続するすべての人に配布される証明書に含まれています。
もちろん、彼らがあなたの秘密鍵を持っている場合、その秘密鍵で暗号化された情報も侵害されている可能性があります。問題の期間にログインしたすべてのユーザーのパスワードを強制的に変更することを検討してください。特に管理者。
于 2014-04-08T23:50:23.697 に答える