Conosco un sito che utilizza attualmente SSLv2
e mi rifiuto di connettermi a loro fino a quando non
- Disattiva
SSLv2
- Ridigita i loro server
Insisto sul # 2 perché a causa di DROWN , i server che eseguono SSLv2
dovrebbero considerare le loro chiavi private compromesse. Un ri-tasto è l'unica cosa che risolverà quel problema.
C'è un modo per dimostrare che il sito ha ridisegnato il proprio server? Posso controllare il certificato (che dovrà essere modificato), ma come faccio a sapere che non hanno riutilizzato la stessa chiave e ottenuto un nuovo certificato?
So che posso usare openssl x509 -pubkey
per ottenere informazioni sulla chiave pubblica (che è legata direttamente alla chiave privata) dal certificato. Se la chiave pubblica cambia, vuol dire che la chiave privata è cambiata?
Oppure, una domanda migliore potrebbe essere "se la chiave pubblica cambia, è possibile che la chiave privata non sia cambiata"? Paragonerei il modulo e l'esponente della chiave pubblica, ovviamente, non solo i byte dei file codificati in DER che ero in grado di recuperare o derivare.
Il confronto a chiave pubblica funzionerà, e c'è un modo migliore?