Ho un certificato ssl gratuito emesso poco prima che Heartbleed fosse trovato. Ora il mio CA vuole che paghi 25 $ per revocarlo. Dovrei pagare o è appena sufficiente per creare un nuovo certificato da un'altra CA e sostituire esistente? Considerando che non ci sono utenti reali del mio sito (il sito è ancora in sviluppo e nessuno ha ancora installato il mio vecchio certificato nel suo browser)?
Se non hai utilizzato il tuo certificato, non è necessario revocarlo o riemetterlo. Sembra che CA stia facendo più soldi con Heart Bleed.
Se hai utilizzato il certificato seguendo le cose potrebbero essere esposti con lo sfruttamento del HeartBleed.
Penso ci siano un paio di idee sbagliate.
Prima di tutto, i browser richiedono e controllano il certificato al volo. Non lo memorizzano. Questo può essere fatto manualmente, ma non è né comune né utile nei casi standard.
Se qualcuno è riuscito ad ottenere il tuo certificato e la corrispondente chiave privata, ora "possiede" un certificato perfettamente valido per il tuo sito e può utilizzarlo ogni volta che lo desidera. Non importa se hai utilizzato il certificato solo per i test e hai intenzione di acquistarne uno nuovo. I browser non ne sono a conoscenza. Accetteranno entrambi i certificati - beh, a meno che il tuo CA non revochi esplicitamente il vecchio.
Quindi l'acquisto di un nuovo certificato non risolve il problema. Non cambia il fatto che esiste un certificato potenzialmente compromesso che potrebbe essere usato per un attacco man-in-the-middle contro il sito.
È certamente fastidioso pagare soldi extra per la revoca, ma non c'è davvero un'altra opzione. Dovresti scegliere un CA più giusto la prossima volta, però. ; -)
Leggi altre domande sui tag tls heartbleed