OpenSSL 中的 Heartbleed Bug 是否会影响所有 SSL 证书,无论我在哪里购买或是否自行认证?
例如,如果我从 GoDaddy 购买了 SSL 证书,并按照他们的 Apache 教程在我的服务器上进行了设置(http://support.godaddy.com/help/article/5238/installing-an-ssl-certificate-in-apache),这个漏洞是否容易被 Heartbleed 漏洞利用?
答案1
该漏洞与证书本身无关,漏洞存在于OpenSSL库的实现中,恶意攻击者可以利用该漏洞获取服务器的私钥和其他机密信息。
利用私钥,攻击者可以冒充你的网站,并可能窃听你的服务器和客户端之间的通信
因此,如果您的服务器有一个易受攻击的 OpenSSL 库版本,您的私钥可能已被泄露,最安全的做法是重新生成私钥并获取新的相应证书。