openssl (heartbleed)을 업데이트 한 후 snakeoil 인증서를 업데이트해야합니까?


8

방금 데비안 wheezy 서버를 heartbleed 버그가 수정 된 openssl 패키지의 최신 버전으로 업데이트했습니다.

서버에서 SSL을 지원하지만 snakeoil 인증서 만 사용합니다. snakeoil 인증서를 업데이트하는 것과 관련하여 실제로 보안 문제가 있는지 궁금합니다. 어쨌든 snakeoil 인증서이기 때문에 그대로 둘 수 있습니까?

이 질문은 SSL에 대한 지식이 부족한 것일 수 있습니다 ...하지만 내 snakeoil 인증서를 변경 해야하는지, 그렇다면 그렇다면 왜 :)

답변:


8

아니요, 업데이트를 귀찮게 할 필요가 없습니다.

하트 블리드 버그가 개인 키를 노출 했으므로 사용자와 서버 사이의 네트워크 경로에있는 타사 ( "중간자")는 암호화되지 않은 모든 데이터를 볼 수 있습니다.

그러나 snakeoil 인증서의 경우 비 CA 인증서에 대한 MITM 공격은 실제로 사소한 것이기 때문에 손상되지 않은 키의 일반적인 사용 사례와 크게 다르지 않습니다 . (이 두 가지 보안 문제 사이에는 명백한 차이가 있지만 실제로는 동일한 "무게"이므로 실제 세계에서는 큰 차이가 없습니다.)

snakeoil 인증서 (자신의 또는 다른 신뢰할 수있는 CA 대신)를 사용하고 있으므로 해당 인증서의 경고를 무시할 수 있으므로 SSL 연결의 모든 데이터는 실제로 일반 텍스트 연결보다 안전하지 않습니다. snakeoild 인증서는 실제 인증서 (PKI에 따라 서명하고 PKI에 따라 다르지만 선호하는 방법은 더 많음) 또는 일부 상용 CA를 신뢰하고 적은 비용을 지불하지만 더 적은 비용을 지불하기 전에 실제 인증서를 설치하기 전에 기술적으로 연결을 테스트합니다. 보안)

따라서 일반적으로 heartbleed 버그에는 두 가지 효과가 있습니다.

  1. 랜덤 메모리 판독 허용; 보안 업데이트를 적용하는 순간 수정됩니다.
  2. CA 서명 SSL 인증서가 현재 뱀파이어 인증서만큼 가치가 없는지 (보안 측면에서) 확실하지 않은지 (따라서 신뢰할 수있는 출처에서 재생성하고 다시 발행해야 함). 그리고 당신이 처음에 snakeoil을 사용했다면, 그것은 분명히 문제가 아닙니다.

6
"현재 귀하의 연결은 일반 텍스트와 동일합니다"부분에 +1
PlasmaHH

13

글쎄, 우선 당신은 snakeoil인증서를 사용하지 않아야합니다 .

제대로 당신이 Heartbleed와 공격을 완화하기 위해 반드시 REVOKE 당신이 일반적으로 할 수없는 잠재적 손상 인증서, snakeoil또는 기타 자체 서명 인증서 표시합니다.

실제 인증 기관에서 발급 한 인증서를 감당할 수없는 경우 (또는 개인 환경에서 작업중인 경우) 자체 CA를 설정하고 적절한 인증서 해지 목록을 게시해야합니다. 등)
더 많은 작업이 필요하다는 것을 알고 있지만 올바른 방법입니다.


, 말했다 모든 - 이 인증서를 교체해야 하고 키를 향후 통신의 보안과 무결성을 보장하려면 그래서 지금 알려진 인증 기관에서 발급 한 키 중 하나를 스위치에 좋은 시간이다, 또는 위해 자신을 설정 내부 CA .


1
snakeoil 또는 기타 자체 서명 인증서의 보안 부족에 대해 지적 해 주셔서 감사합니다!
Preexo

5

귀하 (또는 클라이언트, 사용자 등)가 민감한 정보를 SSL을 통해 전달했거나 전달한다고 가정합니다. 암호, 당신은 것을 아무것도 원했던 당신이 일반 텍스트로 그것을 원하지 않았기 때문에 암호화. 예.

그러한 것이 잠재적으로 평문처럼 야생에 있는지 신경 쓰지 않는다면 걱정하지 마십시오.

주의를 기울이면 새 인증서를 넣기 전에 개인 키를 변경하는 것을 잊지 마십시오.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.