亚马逊 AWS 今天发送了一封电子邮件,提醒使用带有 SSL 证书的 Elasic Load Balancing (ELB) 服务的用户应“轮换”这些证书以防万一(Heartbleed 漏洞)。
我究竟如何轮换 SSL 证书?
AWS 原始消息:“OpenSSL 项目最近宣布 OpenSSL(用于 ELB)中存在一个安全漏洞,影响版本 1.0.1 和 1.0.2(CVE-2014-0160)。虽然我们已经减轻了该问题对 Elastic Load Balancing 服务的影响,但我们之所以写信给您,是因为您在一个或多个负载均衡器上使用了一个自定义 SSL 证书。作为预防措施,我们建议您尽快轮换 SSL 证书。”
非常感谢您的帮助。
班齐尼奥
答案1
我认为您应该检查您的 OpenSSL 版本,然后更新它并最后生成一个新的 SSL 证书。
浏览一下此网站,您可以找到有用的信息:http://heartbleed.com/
答案2
您收到电子邮件的原因是您将 SSL 证书上传到负载均衡器以处理 HTTPS 连接。Heartbleed 漏洞允许攻击者访问主机(修补之前的 ELB)上的任意内存,这意味着攻击者可能已经获取了您用于解密 HTTPS 连接的私有证书信息。
因此,您应该轮换(我相信 goDaddy 称之为重新密钥)您的证书,并在 ELB 中上传新证书(现在 AWS 已修补),这样旧证书就会失效,因此如果有人之前使用过该漏洞,就无法冒充您。您的新密钥将在 ELB 中安全无虞。
现在 - 如果您还使用后端 SSL(在 ELB 和主机之间),则需要确保后端主机正在运行修补版本的 openSSL,并且后端通信中使用的密钥也会轮换。如何执行此操作取决于操作系统/发行版,有许多文章可帮助您直接保护系统免受 heartbleed 攻击。