我对 Heartbleed 问题和 SSL 证书有疑问。关于 Heartbleed,许多人说管理员应该撤销他们的证书并获取新证书。我从 Startcom 获得了 SSL 证书,您可能知道,撤销证书需要收费。我对此非常生气,但我有以下问题:- 是否可以从 Startcom 切换到其他提供商(如 Comodo),获取新证书并更改我服务器上的证书?- 如果旧证书没有被撤销,它们会有什么问题吗?- 是否可以在我的服务器(Ubuntu 12.04)上“阻止”这些旧证书?
我不认为我的证书已被泄露,但这对我来说是一个严重的问题。
答案1
我从 Startcom 获得了 SSL 证书,您可能知道,撤销证书需要收费。我对此非常生气...
你希望他们做什么——撤销数十万个证书?这将产生一个证书撤销列表,一些便携式设备的内存甚至无法容纳这个列表。然后每次他们更新 CRL 时,每个设备(即使是低带宽网络上的设备)都必须重新下载一个庞大的列表。这不切实际。
是否可以从 Startcom 切换到其他提供商(例如 Comodo),获取新证书并更改我的服务器上的证书?
当然,但这有什么用呢?攻击者仍然可以使用旧证书冒充您的服务器。
如果旧证书没有被撤销,是否存在问题?
是的,攻击者可以利用它们来冒充您的服务器。
是否可以在我的服务器(Ubuntu 12.04)上“阻止”这些旧证书?
这有什么帮助?攻击者不会将任何流量传递到您的服务器,而是会进行干预。
所有这些的结果是您的安全受到威胁,而您基本上对此无能为力。(尽管这是一个相当小的威胁,因为只有对用于访问您的服务器的网络至少有一定控制权的主动攻击者才能利用它。此外,由于心脏出血,您可能会遇到更严重的威胁,其中许多您可以而且应该采取一些措施。)