Apakah saya harus memperbarui sertifikat snakeoil saya setelah memperbarui openssl (heartbleed)?

8

Saya baru saja memperbarui server wheezy debian saya ke versi terbaru dari paket openssl yang memiliki bug heartbleed.

Saya mendukung SSL di server saya, tetapi hanya dengan sertifikat snakeoil. Saya hanya ingin tahu apakah sebenarnya ada masalah keamanan tentang memperbarui sertifikat snakeoil juga atau bisakah saya membiarkannya karena itu adalah sertifikat snakeoil?

Pertanyaan ini mungkin datang dari pengetahuan saya yang kurang tentang ssl ... tapi terima kasih sebelumnya untuk penjelasan jika saya harus mengubah cert snakeoil saya dan jika ya, mengapa :)

Preexo
sumber

Jawaban:

8

Tidak, Anda tidak perlu repot untuk memperbaruinya.

Memang benar bahwa sekarang bug heartbleed (mungkin) telah mengekspos kunci pribadi Anda, pihak ketiga di jalur jaringan di antara pengguna Anda dan server Anda ("man in the middle") dapat melihat semua data seperti itu tidak dienkripsi.

Namun, untuk sertifikat snakeoil, itu tidak jauh berbeda dari kasus penggunaan reguler dari kunci yang tidak dikompromikan, karena serangan MITM pada sertifikat non-CA pada praktiknya sama sepele . (perhatikan bahwa ada perbedaan teknis antara kedua masalah keamanan tersebut, tetapi dalam praktiknya keduanya memiliki "bobot" yang sama, sehingga tidak membuat banyak perbedaan di dunia nyata)

Karena Anda menggunakan sertifikat snakeoil (bukan milik Anda, atau CA tepercaya lainnya) dan mungkin mengabaikan peringatan apa pun pada sertifikat tersebut, Anda harus mengetahui bahwa data apa pun pada koneksi SSL semacam itu benar-benar tidak lebih aman daripada koneksi plaintext. sertifikat snakeoild hanya dimaksudkan agar Anda secara teknis menguji koneksi sebelum menginstal sertifikat asli (baik ditandatangani oleh CA Anda sendiri dan tergantung pada PKI Anda - lebih disukai tetapi jauh lebih banyak pekerjaan; atau menaruh kepercayaan pada CA komersial, dan membayar lebih sedikit pekerjaan tetapi lebih rendah keamanan)

Jadi secara umum bug heartbleed memiliki dua efek:

  1. memungkinkan memori acak dibaca; yang diperbaiki saat menerapkan pembaruan keamanan
  2. membuat Anda tidak yakin apakah sertifikat SSL yang ditandatangani CA Anda sekarang (dari segi keamanan) sama tidak berharganya dengan snakeoil (dan karenanya harus dibuat ulang dan diterbitkan kembali dari sumber tepercaya). Dan jika Anda menggunakan snakeoil sejak awal, itu jelas bukan masalah.
Matija Nalis
sumber
6
+1 untuk bagian "koneksi Anda saat ini sama dengan plaintext"
PlasmaHH
13

Yah, sebagai permulaan Anda TIDAK HARUS menggunakan snakeoilsertifikat .

Dalam rangka untuk benar mengurangi serangan Heartbleed Anda HARUS REVOKE sertifikat berpotensi dikompromikan, yang biasanya Anda tidak dapat melakukan dengan snakeoilatau sertifikat yang ditandatangani sendiri lainnya.

Jika Anda tidak mampu membeli sertifikat yang dikeluarkan oleh Otoritas Sertifikat nyata (atau Anda bekerja di lingkungan pribadi), Anda harus mengatur CA Anda sendiri dan menerbitkan Daftar Pencabutan Sertifikat yang tepat sehingga Anda dapat mengurangi kompromi seperti ini (serta kunci yang hilang) , dll.)
Saya tahu ini lebih banyak pekerjaan, tapi itu Cara yang Benar Untuk Melakukan Hal.


Semua yang mengatakan, Ya - Anda harus mengganti sertifikat dan kunci ini jika Anda ingin memastikan keamanan dan integritas komunikasi di masa depan, jadi sekarang adalah saat yang tepat untuk beralih ke kunci yang dikeluarkan oleh Otoritas Sertifikat yang dikenal, atau untuk membuat sendiri CA internal .

voretaq7
sumber
1
terima kasih telah menunjukkan tentang kurangnya keamanan snakeoil atau sertifikat yang ditandatangani sendiri!
Preexo
5

Dengan asumsi bahwa Anda (atau klien, pengguna, dll) pernah lulus, atau akan menyampaikan, informasi sensitif melalui SSL, ya. Kata sandi, hal lain yang ingin Anda enkripsi karena Anda tidak menginginkannya dalam plaintext. Iya.

Jika Anda benar-benar tidak peduli jika hal-hal itu berpotensi di alam liar sebagai plaintext, maka jangan lakukan itu.

Jika Anda peduli, jangan lupa untuk mengubah kunci pribadi Anda sebelum mengenakan sertifikat baru.

mfinni
sumber