Does Heartbleed influisce sui server se OpenSSL è stato utilizzato solo per generare il certificato?

7

Ho creato un'applicazione che genera richieste di firma del certificato (CSR) utilizzando il modulo PHP OpenSSL.

C'è un modo in cui il bug di HeartBleed può influenzare queste (in uso) chiavi private e CSR che sono stati generati mentre OpenSSL 1.0.1e è stato installato sul server web di generazione?

    
posta Elijah Paul 09.04.2014 - 04:55
fonte

1 risposta

10

Il bug interessa solo le connessioni TLS che abilitano Heartbeat, non altre parti di OpenSSL. Le parti non interessate includono generazione di chiavi, firma di certificati, generazione di digest, generazione di byte casuali, ecc.

Inoltre, in nessun modo un certificato può essere "infettato" da questo bug in modo tale da comportare un rischio per altri componenti. Ad esempio, i certificati generati da OpenSSL 1.0.1g non saranno migliori o peggiori di quelli generati da 1.0.1f (che ha il bug Heartbleed).

    
risposta data 09.04.2014 - 18:13
fonte

Leggi altre domande sui tag