Dois-je mettre à jour mon certificat snakeoil après avoir mis à jour openssl (heartbleed)?
8
Je viens de mettre à jour mon serveur Debian Wheezy vers la dernière version du paquet openssl qui a corrigé le bug Heartbleed.
Je supporte SSL sur mon serveur, mais uniquement avec un certificat snakeoil. Je me demandais simplement s'il y avait réellement un problème de sécurité concernant la mise à jour du certificat snakeoil ou puis-je simplement le laisser tel quel parce qu'il s'agit de toute façon d'un certificat snakeoil?
Cette question pourrait venir de mon manque de connaissances sur ssl ... mais merci d'avance pour toute explication si je devais changer mon cert snakeoil et si oui, pourquoi :)
Non, vous n'avez pas besoin de vous soucier de les mettre à jour.
Il est vrai que maintenant que le bogue Heartbleed (éventuellement) a exposé votre clé privée, tout tiers sur le chemin réseau entre vos utilisateurs et votre serveur ("l'homme au milieu") peut voir toutes les données car elles n'ont pas été cryptées.
Cependant, pour les certificats snakeoil, cela ne diffère pas beaucoup du cas d'utilisation normal des clés non compromises, car l'attaque MITM sur les certificats non-CA est en pratique tout aussi triviale . (notez qu'il existe une différence technique entre ces deux problèmes de sécurité, mais dans la pratique, ils ont le même "poids", ce qui ne fait pas beaucoup de différence dans le monde réel)
Étant donné que vous utilisez des certificats snakeoil (au lieu du vôtre ou d'une autre autorité de certification de confiance) et que vous ignorez donc probablement tous les avertissements sur ces certificats, vous devez savoir que les données sur ces connexions SSL ne sont vraiment pas plus sécurisées que les connexions en clair. Les certificats snakeoild sont uniquement destinés à tester techniquement les connexions avant d'installer un vrai certificat (soit signé par votre propre autorité de certification et en fonction de votre infrastructure à clé publique - préférable mais beaucoup plus de travail; ou faire confiance à une autorité de certification commerciale et payer pour le moins de travail mais moins Sécurité)
Donc, en général, le bug Heartbleed a deux effets:
permettre la lecture aléatoire de la mémoire; qui est fixé au moment où appliquer la mise à jour de sécurité
vous rendant incertain si vos certificats SSL signés par l'autorité de certification sont désormais (sur le plan de la sécurité) aussi inutiles que ceux de serpent (et doivent donc être régénérés et réémis à partir d'une source fiable). Et si vous utilisiez l'huile de serpent en premier lieu, ce n'est évidemment pas un problème.
+1 pour la partie "votre connexion est actuellement égale au texte en clair de toute façon"
PlasmaHH
13
Eh bien, pour commencer, vous NE DEVEZ PAS utiliser de snakeoilcertificat .
Afin d'atténuer correctement l'attaque sincère, vous DEVEZ RÉVOQUER les certificats potentiellement compromis, ce que vous ne pouvez généralement pas faire avec snakeoilou d'autres certificats auto-signés.
Si vous ne pouvez pas vous permettre de délivrer de vrais certificats émis par l'autorité de certification (ou si vous travaillez dans un environnement privé), vous devez configurer votre propre autorité de certification et publier une liste de révocation de certificats appropriée afin de pouvoir atténuer les compromis comme celui-ci (ainsi que les clés perdues). , etc.)
Je sais que c'est beaucoup plus de travail, mais c'est la bonne façon de faire les choses.
Cela dit, oui - vous devez remplacer ce certificat et cette clé si vous voulez assurer la sécurité et l'intégrité des communications futures, c'est donc le bon moment pour passer à une clé émise par une autorité de certification connue, ou pour établir la vôtre CA interne .
merci d'avoir signalé le manque de sécurité de snakeoil ou d'autres certificats auto-signés!
Preexo
5
En supposant que vous (ou clients, utilisateurs, etc.) avez déjà transmis, ou transmettrez, des informations sensibles via SSL, oui. Mots de passe, tout ce que vous vouliez chiffré parce que vous ne le vouliez pas en texte clair. Oui.
Si vous ne vous souciez vraiment pas de savoir si ces choses sont potentiellement à l'état sauvage en texte clair, alors ne le faites pas.
Si vous vous en souciez, n'oubliez pas de changer votre clé privée avant de mettre le nouveau certificat.
Eh bien, pour commencer, vous NE DEVEZ PAS utiliser de
snakeoil
certificat .Afin d'atténuer correctement l'attaque sincère, vous DEVEZ RÉVOQUER les certificats potentiellement compromis, ce que vous ne pouvez généralement pas faire avec
snakeoil
ou d'autres certificats auto-signés.Si vous ne pouvez pas vous permettre de délivrer de vrais certificats émis par l'autorité de certification (ou si vous travaillez dans un environnement privé), vous devez configurer votre propre autorité de certification et publier une liste de révocation de certificats appropriée afin de pouvoir atténuer les compromis comme celui-ci (ainsi que les clés perdues). , etc.)
Je sais que c'est beaucoup plus de travail, mais c'est la bonne façon de faire les choses.
Cela dit, oui - vous devez remplacer ce certificat et cette clé si vous voulez assurer la sécurité et l'intégrité des communications futures, c'est donc le bon moment pour passer à une clé émise par une autorité de certification connue, ou pour établir la vôtre CA interne .
la source
En supposant que vous (ou clients, utilisateurs, etc.) avez déjà transmis, ou transmettrez, des informations sensibles via SSL, oui. Mots de passe, tout ce que vous vouliez chiffré parce que vous ne le vouliez pas en texte clair. Oui.
Si vous ne vous souciez vraiment pas de savoir si ces choses sont potentiellement à l'état sauvage en texte clair, alors ne le faites pas.
Si vous vous en souciez, n'oubliez pas de changer votre clé privée avant de mettre le nouveau certificat.
la source