Beeinflusst Heartbleed Bug in OpenSSL ALLE SSL-Zertifikate

2922
bwright

Beeinflusst der Heartbleed-Fehler in OpenSSL ALLE SSL-Zertifikate, unabhängig davon, wo ich sie gekauft habe oder ob ich selbst zertifiziert bin?

Wenn Sie beispielsweise ein SSL-Zertifikat von GoDaddy erworben und dieses auf meinem Server eingerichtet haben, folgen Sie dem Apache-Tutorial ( http://support.godaddy.com/help/article/5238/installing-an-ssl-certificate-in-apache ), ist das anfällig dafür, über Heartbleed ausgenutzt zu werden?

3
Wenn das Zertifikat in einer Situation verwendet wurde, in der es vor dem Patchen von OpenSSL verwendet wurde, sollten Sie es als unbrauchbar ansehen und es widerrufen. Ramhound vor 10 Jahren 1

1 Antwort auf die Frage

7
Tero Kilkanen

Der Fehler hat nichts mit den Zertifikaten selbst zu tun. Der Fehler liegt in der Implementierung der OpenSSL-Bibliothek, die es dem Angreifer ermöglicht, den privaten Schlüssel des Servers und andere vertrauliche Informationen abzurufen.

Mit dem privaten Schlüssel kann der Angreifer die Identität Ihrer Website annehmen und möglicherweise den Datenverkehr zwischen Ihrem Server und dem Client abhören

Wenn Ihr Server über eine anfällige Version der OpenSSL-Bibliothek verfügte, wurde möglicherweise Ihr privater Schlüssel durchgesickert, und es ist am sichersten, den privaten Schlüssel zu regenerieren und neue entsprechende Zertifikate zu erhalten.

Vorausgesetzt, man hatte zuvor eine verwundbare Version von OpenSSL und kaufte ein Zertifikat von GoDaddy. Die beste Methode, den Server erneut abzusichern, wäre, die aktualisierte Version von Open SSL zu installieren, das Zertifikat dann wieder abzugeben und neu zu installieren. bwright vor 10 Jahren 1
Ja, nachdem Sie die Sicherheitsanfälligkeit behoben haben, ist es am sichersten, den privaten Schlüssel zu regenerieren und ein entsprechendes Zertifikat zu erhalten. Tero Kilkanen vor 10 Jahren 2
Ja; das aktuelle Zertifikat widerrufen, das neue ausstellen Ramhound vor 10 Jahren 1
Der Widerruf ist ebenfalls ein wichtiger Schritt. Wenn ein Angreifer Ihren Server angegriffen hat, kann er das Zertifikat, das er gestohlen hat, ohne Beeinträchtigung Ihrer Site verwenden. heavyd vor 10 Jahren 1

Verwandte Probleme