Как я могу проверить, уязвимы ли сертификаты, созданные с помощью openssl, к heartbleed

Question

Как я могу проверить, уязвимы ли сертификаты, созданные с помощью openssl, к heartbleed

Я знаю, что вы можете показать версию openssl, которую вы используете, введя следующую строку в командной строке "openssl version".

Некоторое время назад я создал сертификат и ключ с похожими именами для server.cer и server.key.

У меня проблема в том, что я не уверен, с какой версией openssl они были созданы. Есть ли команда, которую вы можете использовать, чтобы узнать, с какой версией openssl они были созданы? У сертификатов и ключей хранится эта информация.

Я пытаюсь подтвердить, уязвимы ли они к проблеме безопасности openssl.

4

security ssl-certificate openssl heartbleed

Источник

user1153199 09 апр '14 в 07:12

1 ответ

Другие вопросы по тегам security ssl-certificate openssl heartbleed

MadHatter 09 апр '14 в 07:17 2014-04-09 07:17 · Answer 1 · 2014-04-09 07:17

Сертификат не подвержен сердечному кровотечению. Сертификат это просто сертификат. В прошлом были проблемы с криптографией, особенно в том, что касается выбора ГСЧ, из-за которого создавались слабые ключи (и, следовательно, уязвимые сертификаты), но сердечная недостаточность не является уязвимостью такого типа.

Пара ключ / сертификат может быть скомпрометирована с помощью heartbleed, независимо от версии OpenSSL, с которой он был создан, или даже если он был создан совершенно другой реализацией SSL, если он использовался на сервере, который предлагал услуги TLS для общего доступа используя уязвимую версию OpenSSL.

Если он не использовался таким образом, он не мог быть скомпрометирован сердечным кровотечением, даже если он был создан на сервере, на котором в то время работала уязвимая версия OpenSSL.

(Теперь для более сложного, чем вам хотелось бы, бита: если вы создали пару ключ / сертификат (или пара ключ /CSR) на сервере, и на этом сервере была запущена уязвимая версия OpenSSL и вы были подключены к этому серверу с помощью метода, уязвимого для эксплойта (например, OpenVPN, но не OpenSSH), и вы открыли содержимое созданного ключевого файла в потоке соединения, например, путем котирования файла или копирования его по соединению, тогда возможно, что сертификат был скомпрометирован, но это все еще не является уязвимостью в сертификате как таковом, и его нельзя обнаружить при проверке сертификата (или, насколько я знаю, каким-либо другим способом).