2. 질의 응답
  3. heartbleed - SSL 인증서를 취소하거나 다시 입력 하시겠습니까?

heartbleed - SSL 인증서를 취소하거나 다시 입력 하시겠습니까?

2014-04-08 4 views
4

openSSL과 관련된 문제 및 해결 방법과 관련하여 기존 SSL 인증서를 해지하거나 키를 다시 사용해야합니까?heartbleed - SSL 인증서를 취소하거나 다시 입력 하시겠습니까?

출처

2014-04-08 Dandan

+3

이 질문은 소프트웨어 버전에 관한 내용이므로 오프 토픽 인 것으로 보입니다. , Administration and patching. Server Fault는 주제에 대한 질문이 많습니다 : – jww

+0

PKI 관점에서 볼 때 '기존 인증서 다시 키기'와 같은 것은 없습니다. 상업상의 관점에서 볼 수 있습니다 : 아마도 당신은 다시 CA를 지불 할 필요가 없을 것입니다. 새로운 키의 결과는 새로운 CSR과 새로운 서명 된 인증서입니다. – EJP

답변

3

한 번만 문제가 해결되면 (openssl 업그레이드) 기존 SSL 인증서를 다시 입력 할 수 있습니다.

키를 다시 입력하면 효과적으로 새 인증서가 발행되고 이전 인증서는 자동으로 해지됩니다.

인증서를 해지하는 다른 이유는 인증서 이외의 정보 (예 : 키)가 변경되는 경우입니다. 이 정보는 어쨌든 공개됩니다. 연결하는 사람에게 증서에 포함되어 있습니다.

물론 개인 키가있는 경우 해당 개인 키로 암호화 된 정보도 손상되었을 수 있습니다. 해당 기간에 로그인 한 모든 사용자에 대해 비밀번호 변경을 강요하는 것을 고려할 수 있습니다. 특히 관리자.

출처

2014-04-08 23:50:23

+3

개인 키 손상을 이유라고 여기지 않습니다 – EJP

+1

"다시 키잉하면 새로운 인증서가 발행되고 이전 인증서는 자동으로 폐기됩니다."즉, http://support.godaddy.com/help/articl에 따라 e/4976/rekeying-an-ssl-certificate –

+2

그건 내가 요구 한 것이 아닙니다. 답변에 '인증서를 해지 할 수있는 유일한 이유'가 명시되어 있으며 명시 적으로 키를 제외합니다. 그것은 정확하지 않습니다. 기껏해야 그것은 매우 오도하기 쉽습니다. – EJP

7

개인 키가 유출 될 수 있으므로 인증서를 갱신하지 말고 키를 다시 입력해야합니다 (예 : 하나를 갱신하는 대신 새로운 공개/개인 키 쌍을 사용하십시오. 손상된 인증서 해지도 수행해야합니다. 동일한 CA에서 새 인증서를 만들면 자동으로 수행 할 수 있지만 발급자 (CA)와이를 확인해야합니다.

브라우저에서 현재 PKI 구조의 해지 프로세스가 잘못되었음을 유의하십시오. 일부는 확인하지 않으며 일부는 OCSP 오류 등을 무시합니다. 브라우저 외부에서는 악화됩니다 (예 : 스크립트, 모바일 앱 ...). 그렇기 때문에 CA (Comodo, DigiNotar, FGC/A ...)의 마지막 큰 타협이나 잘못된 행동에서 항상 새로운 브라우저 버전을 얻었습니다. (

출처

2014-04-09 03:50:08

+0

"브라우저에서 현재 PKI 구조의 해지 프로세스가 불량합니다 (예 : 일부는 확인하지 않음, 일부는 OCSP 오류를 무시함)"+1합니다. 14 또는 30 일의 수명이있는 인증서를 사용하는 이유. CRL을 최소화하여 자연스럽게 문제가 만료됩니다. – jww

관련 문제

 관련 문제