关于openSSL heartbleed问题和解决方案,我应该撤销或重新锁定我现有的SSL证书吗?
答案 0 :(得分:7)
由于私钥可能已泄密,因此您需要重新修改证书,而不是仅仅续订,例如使用新的公钥/私钥对而不是更新一个。撤销受损的证书也需要完成,如果您由同一个CA创建新证书,则可以自动完成,但您应该使用颁发者(CA)进行检查。
注意,浏览器中当前PKI结构的撤销过程很糟糕,例如有些人不会检查,有些人会忽略OCSP错误等。而且在浏览器之外情况更糟(例如脚本,移动应用......)。这就是为什么在CA的最后一次妥协或错误行为(Comodo,DigiNotar,FGC / A ......)中你总是得到一个新的浏览器版本:(
答案 1 :(得分:3)
ONCE您已修复问题(已升级的openssl),您可以重新键入现有的SSL证书。
重新键入会有效地颁发新证书,您的旧证书将自动撤销。
撤销证书的另一个原因是证书上的信息(密钥除外)会发生变化。无论如何,这些信息是公开的;它包含在颁发给任何连接人员的证书中。
当然,如果他们拥有您的私钥,那么使用该私钥加密的任何信息也可能已被泄露 - 您可以考虑强制更改在相关时段内登录的任何用户的密码更改。特别是管理员。