web-dev-qa-db-ja.com

opensslのアップグレード後にSSL証明書を再生成する必要がありますか

ご存じかもしれませんが、Opensslの古いバージョンは脆弱でした(OpenSSL 1.0.1 使って 1.0.1f(含む))HeartBleed vulnerability。現在、私たちのサーバーは脆弱なOpenSSLに組み込まれているTomcat7を実行しているため、Tomcat8にアップグレードしましたが、SSL証明書を再生成しませんでした。

だから私の質問は、Heartbleedの脆弱性を回避し、Tomcatのパフォーマンスの問題になる可能性があるため、新しくインストールされたバージョンのopensslでSSL証明書を再生成する必要があるかどうかです。

tlsopensslheartbleedtomcat
3
Sadmi

Heartbleed はOpenSSLライブラリの脆弱性であり、特にハートビート拡張機能の処理方法です。証明書の生成とはまったく関係ありません。証明書はHeartbleedに対して脆弱ではありません。OpenSSLライブラリバージョンのみです。

とは言え、Heartbleed脆弱性のあるOpenSSLバージョンがデプロイされているサーバーに証明書とそれに関連する秘密鍵がデプロイされている場合、秘密キーが漏洩した可能性がありますmay。この場合、次の手順を実行することをお勧めします。

  1. 証明書を取り消します。これは、秘密鍵が実際に秘密であるかどうかを合理的に確認できなくなったことを示しています。
  2. 新しい秘密鍵と証明書を生成します。この機会に、証明書用に選択したパラメータも最新であることを確認してください。
3
MechMK1