openSSL과 관련된 문제 및 해결 방법과 관련하여 기존 SSL 인증서를 해지하거나 키를 다시 사용해야합니까?heartbleed - SSL 인증서를 취소하거나 다시 입력 하시겠습니까?
답변
한 번만 문제가 해결되면 (openssl 업그레이드) 기존 SSL 인증서를 다시 입력 할 수 있습니다.
키를 다시 입력하면 효과적으로 새 인증서가 발행되고 이전 인증서는 자동으로 해지됩니다.
인증서를 해지하는 다른 이유는 인증서 이외의 정보 (예 : 키)가 변경되는 경우입니다. 이 정보는 어쨌든 공개됩니다. 연결하는 사람에게 증서에 포함되어 있습니다.
물론 개인 키가있는 경우 해당 개인 키로 암호화 된 정보도 손상되었을 수 있습니다. 해당 기간에 로그인 한 모든 사용자에 대해 비밀번호 변경을 강요하는 것을 고려할 수 있습니다. 특히 관리자.
개인 키가 유출 될 수 있으므로 인증서를 갱신하지 말고 키를 다시 입력해야합니다 (예 : 하나를 갱신하는 대신 새로운 공개/개인 키 쌍을 사용하십시오. 손상된 인증서 해지도 수행해야합니다. 동일한 CA에서 새 인증서를 만들면 자동으로 수행 할 수 있지만 발급자 (CA)와이를 확인해야합니다.
브라우저에서 현재 PKI 구조의 해지 프로세스가 잘못되었음을 유의하십시오. 일부는 확인하지 않으며 일부는 OCSP 오류 등을 무시합니다. 브라우저 외부에서는 악화됩니다 (예 : 스크립트, 모바일 앱 ...). 그렇기 때문에 CA (Comodo, DigiNotar, FGC/A ...)의 마지막 큰 타협이나 잘못된 행동에서 항상 새로운 브라우저 버전을 얻었습니다. (
"브라우저에서 현재 PKI 구조의 해지 프로세스가 불량합니다 (예 : 일부는 확인하지 않음, 일부는 OCSP 오류를 무시함)"+1합니다. 14 또는 30 일의 수명이있는 인증서를 사용하는 이유. CRL을 최소화하여 자연스럽게 문제가 만료됩니다. – jww
- 1. SSL/TLS HeartBleed 취약점
- 2. HAProxy SSL and Heartbleed Exploit
- 3. Magento에 SSL 인증서를 설치 하시겠습니까?
- 4. 배포 인증서를 다시 작성해야합니까? 개발자 인증서를 다시 작성 하시겠습니까?
- 5. 단일 응용 프로그램에 SSL 인증서를 설치 하시겠습니까?
- 6. Heroku SSL : 중간 인증서를 설치 하시겠습니까?
- 7. SSL 인증서를 확인하지 않고 pip를 사용 하시겠습니까?
- 8. tls 서버에 mutliple ssl 인증서를 사용 하시겠습니까?
- 9. Heartbleed OpenSSL 업그레이드 문제
- 10. SSL 인증서를 가져오고 설치하십시오.
- 11. 인증서를 사용한 SSL 연결
- 12. Blackberry가 SSL 인증서를 무시합니다.
- 13. 인증서를 SSL 포트에 등록
- 14. SSL 인증서를 영구적으로 신뢰하려면 어떻게합니까?
- 15. SslStream 인증서를 수락 하시겠습니까?
- 16. Heroku + api.heroku.com의 SSL 인증서를 확인할 수 없습니다.
- 17. Amazon EC2에서 SSL 인증서를 구성하여 nginx를 다시 시작할 수 없습니다.
- 18. Java의 타사 SSL 인증서를 처리하는 모범 사례
- 19. 로컬 통지를 취소하거나 다시 스케줄하는 푸시 알림?
- 20. Python3에서 SSL 인증서를 생성하는 방법
- 21. Node.js SSL 인증서를 읽는 HTTPS
- 22. SSL 인증서를 사용하여 액세스 제한
- 23. Heroku는 클라이언트 SSL 인증서를 지원합니까?
- 24. SSL 인증서를 Java로 가져 오기
- 25. .htaccess가 공유 SSL 인증서를 사용합니다.
- 26. Java에서 SSL 인증서를 이해하려고 시도했습니다.
- 27. TLS/SSL 인증서를 설치할 위치
- 28. Azure에서 SSL 인증서를 참조하는 방법
- 29. 어떻게 파이썬에서 SSL 인증서를 확인합니까?
- 30. appcmd가 사이트의 SSL 인증서를 설정했습니다.
이 질문은 소프트웨어 버전에 관한 내용이므로 오프 토픽 인 것으로 보입니다. , Administration and patching. Server Fault는 주제에 대한 질문이 많습니다 : – jww
PKI 관점에서 볼 때 '기존 인증서 다시 키기'와 같은 것은 없습니다. 상업상의 관점에서 볼 수 있습니다 : 아마도 당신은 다시 CA를 지불 할 필요가 없을 것입니다. 새로운 키의 결과는 새로운 CSR과 새로운 서명 된 인증서입니다. – EJP