8 votos

¿Tengo que actualizar mi snakeoil certificado después de la actualización de openssl (heartbleed)?

Acabo de actualizar mi debian wheezy server a la versión más reciente del paquete openssl que tiene el heartbleed bug corregido.

Yo apoyo SSL en mi servidor, pero sólo con un snakeoil certificado. Me preguntaba si realmente hay algún problema de seguridad acerca de la actualización de la snakeoil cert así o puedo simplemente dejarlo como está porque es un snakeoil cert de todos modos?

Esta pregunta podría venir de mi falta de conocimiento acerca de ssl... pero gracias de antemano por cualquier explicación si debo cambiar mi snakeoil cert y si sí, ¿por qué :)

13voto

voretaq7 Puntos 63415

Bueno, para empezar Usted NO DEBE utilizar a un snakeoil cert.

Con el fin de mitigar los heartbleed ataque se DEBE REVOCAR la potencialmente comprometida certificados, que generalmente no se puede hacer con snakeoil o de otro tipo de auto-firmado certs.

Si usted no puede permitirse el lujo de Autoridad emisora de Certificados los certificados emitidos (o estás trabajando en un ambiente privado) debe configurar su propia CA y publicar una adecuada Lista de Revocación de Certificados, de modo que se puede mitigar compromisos como este (así como la pérdida de las llaves, etc.)
Sé que es mucho más trabajo, pero es La Manera Correcta De Hacer las Cosas.


Todo lo que dijo, - debe reemplazar este certificado y clave si se desea garantizar la seguridad e integridad de las comunicaciones en el futuro, por lo que ahora es un buen momento para cambiar a una clave emitido por un Certificado de la Autoridad, o a establecer su propia CA interna.

8voto

Matija Nalis Puntos 794

No, usted no tiene que molestarse en actualizar.

Es cierto que ahora que heartbleed bug (posiblemente) ha expuesto su clave privada, de cualquier tercero en la ruta de acceso de red entre los usuarios y el servidor ("hombre en el medio") puede ver todos los datos como es que no estaba cifrado.

Sin embargo, para snakeoil certs, que no difieren mucho de las de uso regular, caso de no comprometidos con las teclas, como ataque MITM en la no-certificados de CA es, en la práctica, igualmente trivial. (tenga en cuenta que hay un tehnical diferencia entre los dos problemas de seguridad, pero en la práctica son de el mismo "peso", por lo que no hace mucha diferencia en el mundo real)

Ya que usted está utilizando snakeoil certs (en lugar de su propio, o de alguna otra entidad de certificación de confianza) y probablemente ignorar advertencias sobre dichos certificados, usted debe ser consciente de que cualquier dato en tales conexiones SSL no es realmente más seguro que el texto de la conexión. snakeoild certs están destinados sólo para que técnicamente prueba de las conexiones antes de la instalación de certificado (firmado por su propia entidad y, dependiendo de su PKI - preferible pero la manera más trabajo; o poner la confianza en algunos CA comercial, y pagar por los menos trabajo, pero menor seguridad)

Así que en general heartbleed bug tiene dos efectos:

  1. permitiendo al azar de la memoria de lectura; que se fija en el momento de aplicar la actualización de seguridad
  2. haciendo que usted no está seguro si su CA-firmado los certificados SSL son ahora (de seguridad) como inútiles como snakeoil (y así tiene que ser regenerado y reeditado de fuente de confianza). Y si se utiliza snakeoil en primer lugar, que es, obviamente, no es un problema.

5voto

mfinni Puntos 29745

Suponiendo que usted (o de los clientes, usuarios, etc) han pasado alguna vez, o va a pasar, la información sensible a través de SSL, sí. Contraseñas, cualquier otra cosa que te quería cifrados porque no la quieren en texto sin formato. Sí.

Si realmente no les importa si son de esas cosas que, potencialmente, en la naturaleza como texto plano, entonces no.

Si te interesa, no te olvides de cambiar su clave privada antes de colocar el nuevo certificado.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: