OpenSSLが証明書の生成にのみ使用されている場合、Heartbleedはサーバーに影響を及ぼしますか?
PHP OpenSSLモジュールを使用して 証明書署名リクエスト (CSR)を生成するアプリケーションを作成しました。
HeartBleedのバグが、生成中のWebサーバーにOpenSSL 1.0.1eがインストールされている間に生成されたこれらの(使用中の)秘密鍵とCSRに影響を与える方法はありますか?
このバグは、ハートビートを有効にするTLS接続にのみ影響し、OpenSSLの他の部分には影響しません。影響を受けない部分には、キーの生成、証明書の署名、ダイジェストの生成、ランダムバイトの生成などがあります。
また、このバグによって証明書が「感染」して、他のコンポーネントにリスクをもたらすことは決してありません。たとえば、OpenSSL 1.0.1gによって生成された証明書は、1.0.1fによって生成された証明書(Heartbleedバグがあります)よりも良くも悪くもありません。