Question Comment puis-je vérifier si les certificats générés avec openssl sont vulnérables à heartbleed


Je suis conscient que vous pouvez afficher la version de openssl que vous utilisez en tapant ce qui suit sur la ligne de commande "version openssl".

J'ai créé un certificat et une clé il y a quelque temps avec des noms similaires à server.cer et server.key.

Le problème que j'ai, c'est que je ne suis pas sûr de la version d'OpenSL avec laquelle ils ont été créés. Existe-t-il une commande que vous pouvez utiliser pour rechercher la version d’openssl avec laquelle ils ont été créés? Les certificats et les clés stockent-ils ces informations?

J'essaie de confirmer s'ils sont vulnérables au problème de sécurité d'OpenSl Heartbleed.


5
2018-04-09 07:12


origine


Vous devriez mieux vérifier si vos serveurs exécutent une version OpenSL vulnérable et les corriger. Après cela, vous pourrez vous inquiéter d’obtenir de nouveaux certificats. - MichelZ


Réponses:


Un certificat n'est pas vulnérable, ou autrement, à chagrin. Un certificat n'est qu'un certificat. Il y a eu des problèmes de crypto dans le passé, en particulier en ce qui concerne le choix du générateur de ressources, qui ont entraîné la création de clés faibles (et donc de certificats vulnérables), mais le cœur déchiré n'est pas une vulnérabilité de ce type.

Une paire clé / certificat peut avoir été compromise par heartbleed, quelle que soit la version d'OpenSSL avec laquelle elle a été créée ou même si elle était créée par une implémentation SSL complètement différente, si elle était utilisée sur un serveur proposant des services TLS au public. en utilisant une version vulnérable de OpenSSL.

Si ce n’était pas le cas, heartbleed n’aurait pas pu le compromettre, même s’il avait été créé sur un serveur qui, à cette époque, exécutait une version vulnérable d’OpenSSL.

(Passons maintenant à la partie la plus compliquée de votre vie: si vous avez créé la paire clé / certificat (ou la paire clé / CSR) sur un serveur et ce serveur exécutait à ce moment-là une version vulnérable d'OpenSSL et vous étiez connecté à ce serveur par une méthode vulnérable à exploiter (par exemple, OpenVPN, mais pas OpenSSH) et vous avez exposé le contenu du fichier de clés créé au flux de connexion, par exemple en cat'ingant le fichier ou en le copiant via la connexion, puis il est possible que le certificat ait été compromis. Mais ce n'est toujours pas une vulnérabilité dans le certificat en tant que tel, et cela n'est pas détectable par l'examen du certificat (ou de toute autre manière, à ma connaissance).


17
2018-04-09 07:17