Attraverso la lettura da più fonti e guardando Sicurezza ora Come gli Heartbleeds , sono venuto per capire che la seguente procedura è raccomandata per essere al sicuro dalla vulnerabilità Heartbleed (presupponendo che il browser dell'utente reagisca correttamente ai certificati TLS revocati, cosa che potrebbe non essere il caso per tutti i browser al momento, ma lasciamo questo problema da parte per il momento):
- Esegui l'upgrade a una versione con patch di openssl
- Rigenera il certificato TLS ( rekey )
- Revoca del certificato precedente
Effettuare i passaggi precedenti:
- Previene lo sfruttamento della vulnerabilità Heartbleed per rubare la nuova chiave (a causa di 1. e 2.)
- Proteggi gli utenti dagli attacchi Man in the Middle utilizzando una chiave rubata (a causa di 3.)
Ora, so che ci sono diversi strumenti per vedere se un sito web è al momento non sicuro (1. non aggiornato) o potenzialmente vulnerabile (2 non rekey) , ma come faccio a sapere se un sito web ha revocato i suoi certificati precedenti?
Credo di poter controllare una chiave specifica (se è noto) utilizzando strumenti (che presumo utilizzino OCSP o CRL), ma c'è un modo per accedere alle chiavi precedenti di un sito web?
È puramente per curiosità, ma vorrei verificare quando un sito web dice "we are safe now"
che ha davvero revocato i loro certificati così come aggiornare openssl e rigenerare le chiavi.
Grazie molte per il vostro prezioso tempo e perdonate i potenziali errori causati dalla mia mancanza di conoscenza nel campo della sicurezza delle informazioni.