Как повернуть SSL-сертификат по запросу AWS

Question

Как повернуть SSL-сертификат по запросу AWS

Сегодня Amazon AWS отправил электронное письмо, в котором говорится, что пользователи, использующие сервис Elasic Load Balancing (ELB) с сертификатами SSL, должны "повернуть" их для предосторожности (ошибка Heartbleed).

Как именно я вращаю сертификат SSL?

Исходное сообщение AWS: "Проект OpenSSL недавно объявил об уязвимости безопасности в OpenSSL (которая используется в ELB), затрагивающей версии 1.0.1 и 1.0.2 (CVE-2014-0160). Хотя мы снизили влияние этой проблемы для службы Elastic Load Balancing мы обращаемся к вам, потому что вы использовали собственный SSL-сертификат с одним или несколькими вашими балансировщиками нагрузки. В качестве меры предосторожности мы рекомендуем вам как можно скорее повернуть ваши SSL-сертификаты ".

Большое спасибо за помощь.

Banzinho

1

ssl-certificate openssl amazon-elb heartbleed

Источник

Banzinho 09 апр '14 в 16:18

2 ответа

Другие вопросы по тегам ssl-certificate openssl amazon-elb heartbleed

Elwyn 09 апр '14 в 16:25 2014-04-09 16:25 · Answer 1 · 2014-04-09 16:25

Я думаю, что вы должны проверить свою версию OpenSSL, затем обновить ее и, наконец, сгенерировать новый сертификат SSL.

Взгляните на этот сайт, вы можете найти полезную информацию: http://heartbleed.com/

1

Источник

Elwyn 09 апр '14 в 16:25

Ross 10 апр '14 в 12:24 2014-04-10 12:24 · Answer 2 · 2014-04-10 12:24

Вы получили электронное письмо по той причине, что вы загрузили SSL-сертификат в балансировщик нагрузки для обработки HTTPS-соединений. Эксплуатация с сердечным кровотечением позволяет злоумышленнику получить доступ к произвольной памяти на хост-компьютере (ELB до того, как он был исправлен), что означает, что злоумышленник мог получить информацию о вашем личном сертификате, которую он использовал для расшифровки соединений HTTPS.

По этой причине вам следует повернуть (я полагаю, goDaddy называет его повторно) свой сертификат и загрузить новый в ELB (теперь, когда AWS установил исправления), чтобы старый был признан недействительным, чтобы никто не мог выдать себя за вас, если они ранее использовали эксплойт. Ваш новый ключ будет в безопасности в ELB.

Теперь - если вы также используете бэкэнд SSL (между ELB и вашими хостами), вам необходимо убедиться, что на хостах бэкэнда установлены исправленные версии openSSL, а ключи, используемые в бэкэнд-коммуникации, также повернуты. То, как вы это сделаете, зависит от операционной системы / дистрибутива, и есть много статей, которые помогут защитить ваши системы напрямую от проблем со здоровьем.