我們升級了服務器並重新生成了任何cPanel/dovecot/ssh密鑰。 我們的客戶是否還需要重新生成CSR和SSL證書?補丁Heartbleed後是新的SSL證書嗎?
我還沒有看到任何有關這方面的信息。
謝謝
我們升級了服務器並重新生成了任何cPanel/dovecot/ssh密鑰。 我們的客戶是否還需要重新生成CSR和SSL證書?補丁Heartbleed後是新的SSL證書嗎?
我還沒有看到任何有關這方面的信息。
謝謝
據this thread on Unix/Linux SE,
如何修復漏洞?
...
生成新的密鑰。這是必要的,因爲該錯誤可能允許攻擊者獲取舊的私鑰。遵循最初使用的相同步驟。
這不僅僅意味着新的證書(或者更確切地說,新的密鑰對)每個受影響的服務器等等。
...
摘自heartbleed.com(重點是我的):
...
什麼是泄漏的主鍵材料以及如何恢復?這些是皇冠上的寶石,加密密鑰本身。
而且this thread on Serverfault SE:
由於在心臟出血漏洞的網站指出,適當的效應初探步驟大致是:
- 修補漏洞的系統。
- 重新生成新的私鑰。
- 向您的CA提交新的CSR。
- 獲取並安裝新的簽名證書。
- 撤銷舊證書。
所以,我強烈建議您更改任何和所有密鑰/證書。我還建議閱讀完整的線程以及他們引用的一些線程。關於在安全和Serverfault SE上分佈的錯誤,有相當多的信息。
使用Heartbleed可以檢索私鑰。
因此,如果您一直存在漏洞,是,強烈建議您的客戶更改他們的私鑰。
這個問題似乎無關緊要,因爲它涉及軟件版本,管理和修補。服務器故障在這個主題上有很多問題:http://serverfault.com/questions/tagged/heartbleed。 – jww