有人知道如果服务器的 OpenSSL 已经修补但站点的 SSL 证书尚未重新密钥,那么黑客可能拥有什么入口点吗?
谢谢!
答案1
如果远程攻击者能够在您修补之前检索您的私钥,那么如果您没有使用完美的前向保密,他们就可以解密之前执行的所有通信并执行中间人攻击。拦截并可能修改现有通信。他们还可能捕获远程访问和修改您的系统或用户帐户所需的凭据。
如果你很幸运,并且在你存在漏洞的时候没有人利用这个漏洞来收集你的密钥或其他任何东西,那么理论上你会没事的。
Heartbleed:如果 OpenSSL 已修补但 SSL 证书尚未重新密钥怎么办?