openssl（ハートブリード）を更新した後、snakeoil証明書を更新する必要がありますか？

debian wheezyサーバーを最新バージョンのopensslパッケージに更新しました。

私はサーバーでSSLをサポートしていますが、snakeoil証明書でのみサポートしています。snakeoil certの更新についても実際にセキュリティ上の懸念があるのか​​、それともsnakeoil certなのでそれをそのままにしていいのかと思っていました。

この質問は、sslに関する知識が不足しているために発生する可能性があります...しかし、snakeoil certを変更する必要があるかどうかと、そうである場合は、理由を説明してください。

いいえ、わざわざ更新する必要はありません。

ハートブレッドバグが（おそらく）秘密鍵を公開したため、ユーザーとサーバーの間のネットワークパス上の第三者（「中間者」）は、暗号化されていないので、すべてのデータを見ることができます。

ただし、snakeoil証明書の場合、非CA証明書に対するMITM攻撃は実際には平凡なものなので、通常の使用法の場合と同様に、妥協のない鍵の場合とそれほど変わりません。（これらの2つのセキュリティ問題には技術的な違いがありますが、実際には同じ「重要度」であるため、実際にはそれほど大きな違いはありません）

自分や他の信頼できるCAの代わりにsnakeoil証明書を使用しているため、このような証明書に関する警告は無視されていると考えられるため、このようなSSL接続のデータはプレーンテキスト接続よりも安全ではないことに注意してください。snakeoild証明書は、実際の証明書をインストールする前に接続を技術的にテストするためのものです（独自のCAによって署名され、PKIによって異なります-望ましいですが、より多くの作業が必要です。セキュリティ）

したがって、一般的にハートブリードバグには2つの影響があります。

1. ランダムメモリ読み取りを許可します。セキュリティ更新を適用した瞬間に修正されます
2. CA署名のSSL証明書がスネークオイルの証明書と同じくらい（セキュリティの観点から）役に立たないかどうかがわかりません（したがって、信頼できるソースから再生成して再発行する必要があります）。そして、そもそもスネークオイルを使用しているのであれば、それは明らかに問題ではありません。

さて、まず第一に、あなたはsnakeoil証明書を使用してはいけません。

適切ハートブリード攻撃を軽減するためには、しなければならない REVOKEあなたが一般的に行うことができない、潜在的に危険にさらさ証明書をsnakeoil自己署名本命または他の。

実際の認証局が発行した証明書を購入できない場合（またはプライベート環境で作業している場合）、独自のCAをセットアップし、適切な証明書失効リストを公開して、このような侵害（および鍵の紛失）を軽減できるようにする必要があります。など）
私はそれがはるかに多くの仕事であることを知っていますが、それは物事を行う正しい方法です。

そうは言っても、はい - 今後の通信のセキュリティと整合性を確保したい場合は、この証明書とキーを置き換える必要があるため、今が既知の認証局が発行したキーに切り替えるか、独自の認証局を確立するのに良い時です。内部CA。

あなた（またはクライアント、ユーザーなど）がSSLを介して機密情報を通過した、または通過することを前提としています。パスワード、あなたがいることを何か欲しかったあなたが平文でそれをしたくなかったので、暗号化されました。はい。

それらがプレーンテキストとして潜在的に公開されている可能性があるかどうかを本当に気にかけない場合は、気にしないでください。

気になる場合は、新しい証明書を発行する前に秘密鍵を変更することを忘れないでください。