Devo aggiornare il mio certificato snakeoil dopo l'aggiornamento di openssl (heartbleed)?


8

Ho appena aggiornato il mio server debian wheezy alla versione più recente del pacchetto openssl che ha corretto il bug heartble.

Supporto SSL sul mio server, ma solo con un certificato snakeoil. Mi stavo solo chiedendo se ci sono effettivamente problemi di sicurezza nell'aggiornamento del certificato snakeoil o posso lasciarlo così com'è perché è un certificato snakeoil comunque?

Questa domanda potrebbe venire dalla mia scarsa conoscenza di ssl ... ma grazie in anticipo per qualsiasi spiegazione se dovrei cambiare il mio certificato di serpente e se sì, perché :)

Risposte:


8

No, non è necessario preoccuparsi di aggiornarli.

È vero che ora quel bug heartble (possibilmente) ha esposto la tua chiave privata, qualsiasi terza parte sul percorso di rete tra i tuoi utenti e il tuo server ("man in the middle") può vedere tutti i dati in quanto non sono crittografati.

Tuttavia, per i certificati snakeoil, ciò non differisce molto dal normale caso di utilizzo di chiavi non compromesse, dato che l'attacco MITM ai certificati non CA è praticamente altrettanto banale . (nota che esiste una differenza tecnica tra questi due problemi di sicurezza, ma in pratica hanno lo stesso "peso", quindi non fa molta differenza nel mondo reale)

Dato che stai usando snakeoil certs (invece della tua o di qualche altra CA fidata) e quindi presumibilmente ignori eventuali avvisi su tali certificati, dovresti essere consapevole che tutti i dati su tali connessioni SSL non sono in realtà più sicuri della connessione in chiaro. snakeoild certs ha lo scopo solo di testare tecnicamente le connessioni prima di installare un certificato reale (firmato dalla propria CA e in base alla propria PKI - preferibile ma molto più lavoro; o affidarsi ad alcune CA commerciali e pagare per meno lavoro ma inferiore sicurezza)

Quindi, in generale, il bug heartble ha due effetti:

  1. consentire la lettura casuale della memoria; che è stato risolto nel momento in cui applica l'aggiornamento di sicurezza
  2. rendendoti insicuro se i certificati SSL firmati dalla CA sono ora (per quanto riguarda la sicurezza) inutili come quelli di serpente (e quindi devono essere rigenerati e ristampati da fonti attendibili). E se stavi usando snakeoil in primo luogo, questo è ovviamente non-problema.

6
+1 per la parte "la tua connessione è attualmente uguale al testo normale comunque"
PlasmaHH

13

Bene, per cominciare NON DOVREI usare un snakeoilcertificato .

Al fine di mitigare adeguatamente l'attacco heartbleed si DEVE REVOCARE i certificati potenzialmente compromessi, che in genere non si può fare con snakeoilo altri certs autofirmati.

Se non puoi permetterti veri certificati emessi dall'autorità di certificazione (o stai lavorando in un ambiente privato), devi impostare la tua CA e pubblicare un elenco di revoche di certificati adeguato in modo da poter mitigare compromessi come questo (così come chiavi perse , ecc.)
So che c'è molto più lavoro, ma è il modo giusto di fare le cose.


Detto questo, : è necessario sostituire questo certificato e chiave se si desidera garantire la sicurezza e l'integrità delle comunicazioni future, quindi ora è un buon momento per passare a una chiave emessa da un'autorità di certificazione nota o per stabilire la propria CA interna .


1
grazie per aver sottolineato la mancanza di sicurezza del serpente o di altri certificati autofirmati!
Preexo,

5

Supponendo che tu (o clienti, utenti, ecc.) Abbia mai passato, o passerà, informazioni sensibili su SSL, sì. Password, qualsiasi altra cosa che volessi crittografata perché non la volevi in ​​chiaro. Sì.

Se davvero non ti importa se quelle cose sono potenzialmente allo stato brado come testo normale, allora non farlo.

Se ti interessa, non dimenticare di cambiare la chiave privata prima di inserire il nuovo certificato.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.