Muss ich mein Snakeoil-Zertifikat nach dem Aktualisieren von openssl (heartbleed) aktualisieren?
8
Ich habe gerade meinen Debian-Wheezy-Server auf die neueste Version des openssl-Pakets aktualisiert, bei der der Heartbleed-Fehler behoben wurde.
Ich unterstütze SSL auf meinem Server, jedoch nur mit einem Snakeoil-Zertifikat. Ich habe mich nur gefragt, ob es tatsächlich Sicherheitsbedenken hinsichtlich der Aktualisierung des Schlangenölzertifikats gibt, oder kann ich es einfach so lassen, wie es ist, weil es sowieso ein Schlangenölzertifikat ist?
Diese Frage könnte auf mein mangelndes Wissen über SSL zurückzuführen sein ... aber ich danke Ihnen im Voraus für jede Erklärung, ob ich mein Snakeoil-Zertifikat ändern sollte und wenn ja, warum :)
Nein, Sie müssen sich nicht die Mühe machen, sie zu aktualisieren.
Es ist wahr, dass jetzt, da der Heartbleed-Fehler (möglicherweise) Ihren privaten Schlüssel offengelegt hat, jeder Dritte auf dem Netzwerkpfad zwischen Ihren Benutzern und Ihrem Server ("Mann in der Mitte") alle Daten so sehen kann, wie sie nicht verschlüsselt wurden.
Bei Snakeoil-Zertifikaten unterscheidet sich dies jedoch nicht wesentlich vom regulären Verwendungsfall nicht kompromittierter Schlüssel, da MITM-Angriffe auf Nicht-CA-Zertifikate in der Praxis ebenso trivial sind . (Beachten Sie, dass es einen technischen Unterschied zwischen diesen beiden Sicherheitsproblemen gibt, aber in der Praxis haben sie das gleiche "Gewicht", so dass dies in der realen Welt keinen großen Unterschied macht.)
Da Sie Snakeoil-Zertifikate (anstelle Ihrer eigenen oder einer anderen vertrauenswürdigen Zertifizierungsstelle) verwenden und daher vermutlich alle Warnungen auf solchen Zertifikaten ignorieren, sollten Sie sich darüber im Klaren sein, dass Daten zu solchen SSL-Verbindungen nicht sicherer sind als Klartextverbindungen. Snakeoild-Zertifikate sind nur dazu gedacht, die Verbindungen vor der Installation eines echten Zertifikats technisch zu testen (entweder von Ihrer eigenen Zertifizierungsstelle signiert und abhängig von Ihrer PKI - vorzuziehen, aber viel mehr Arbeit) oder Vertrauen in eine kommerzielle Zertifizierungsstelle zu setzen und für weniger Arbeit zu bezahlen, aber weniger Sicherheit)
Im Allgemeinen hat Heartbleed Bug also zwei Auswirkungen:
zufälliges Lesen des Speichers zulassen; Dies wird behoben, sobald das Sicherheitsupdate angewendet wird
Sie sind sich nicht sicher, ob Ihre von der CA signierten SSL-Zertifikate jetzt (in Bezug auf die Sicherheit) genauso wertlos sind wie die von Snakeoil (und müssen daher neu generiert und aus einer vertrauenswürdigen Quelle neu ausgestellt werden). Und wenn Sie überhaupt Schlangenöl verwendet haben, ist das offensichtlich kein Problem.
+1 für den Teil "Ihre Verbindung ist derzeit sowieso gleich Klartext"
PlasmaHH
13
Nun, für den Anfang sollten Sie kein snakeoilZertifikat verwenden .
Um richtig die Heartbleed Angriff zu mildern Sie MÜSSEN REVOKE die potenziell kompromittiert Zertifikate, die Sie in der Regel nicht mit tun können , snakeoiloder andere selbstsignierte Zertifikate.
Wenn Sie sich keine von der Zertifizierungsstelle ausgestellten Zertifikate leisten können (oder in einer privaten Umgebung arbeiten), sollten Sie eine eigene Zertifizierungsstelle einrichten und eine ordnungsgemäße Zertifikatsperrliste veröffentlichen, damit Sie solche Kompromisse (sowie verlorene Schlüssel) vermeiden können usw.)
Ich weiß, es ist viel mehr Arbeit, aber es ist der richtige Weg, Dinge zu tun.
Alles , was gesagt, Ja - Sie müssen dieses Zertifikat ersetzen und Schlüssel , wenn Sie die Sicherheit und Integrität der künftigen Kommunikation sicherstellen wollen, so ist jetzt eine gute Zeit zu jedem Wechsel zu einem Schlüssel von einer bekannten Zertifizierungsstelle ausgestellt oder auf Ihre eigenes zu etablieren interne Zertifizierungsstelle .
Vielen Dank für den Hinweis auf Sicherheitsmangel an Schlangenöl oder anderen selbstsignierten Zertifikaten!
Preexo
5
Angenommen, Sie (oder Kunden, Benutzer usw.) haben jemals vertrauliche Informationen über SSL weitergegeben oder werden sie weitergeben, ja. Passwörter, alles andere, was Sie verschlüsseln wollten, weil Sie es nicht im Klartext haben wollten. Ja.
Wenn es Ihnen wirklich egal ist, ob diese Dinge möglicherweise als Klartext in freier Wildbahn sind, dann tun Sie es nicht.
Wenn Sie sich interessieren, vergessen Sie nicht, Ihren privaten Schlüssel zu ändern, bevor Sie das neue Zertifikat anlegen.
Nun, für den Anfang sollten Sie kein
snakeoil
Zertifikat verwenden .Um richtig die Heartbleed Angriff zu mildern Sie MÜSSEN REVOKE die potenziell kompromittiert Zertifikate, die Sie in der Regel nicht mit tun können ,
snakeoil
oder andere selbstsignierte Zertifikate.Wenn Sie sich keine von der Zertifizierungsstelle ausgestellten Zertifikate leisten können (oder in einer privaten Umgebung arbeiten), sollten Sie eine eigene Zertifizierungsstelle einrichten und eine ordnungsgemäße Zertifikatsperrliste veröffentlichen, damit Sie solche Kompromisse (sowie verlorene Schlüssel) vermeiden können usw.)
Ich weiß, es ist viel mehr Arbeit, aber es ist der richtige Weg, Dinge zu tun.
Alles , was gesagt, Ja - Sie müssen dieses Zertifikat ersetzen und Schlüssel , wenn Sie die Sicherheit und Integrität der künftigen Kommunikation sicherstellen wollen, so ist jetzt eine gute Zeit zu jedem Wechsel zu einem Schlüssel von einer bekannten Zertifizierungsstelle ausgestellt oder auf Ihre eigenes zu etablieren interne Zertifizierungsstelle .
quelle
Angenommen, Sie (oder Kunden, Benutzer usw.) haben jemals vertrauliche Informationen über SSL weitergegeben oder werden sie weitergeben, ja. Passwörter, alles andere, was Sie verschlüsseln wollten, weil Sie es nicht im Klartext haben wollten. Ja.
Wenn es Ihnen wirklich egal ist, ob diese Dinge möglicherweise als Klartext in freier Wildbahn sind, dann tun Sie es nicht.
Wenn Sie sich interessieren, vergessen Sie nicht, Ihren privaten Schlüssel zu ändern, bevor Sie das neue Zertifikat anlegen.
quelle