通过阅读多个来源并观看Security Now's How the Heartbleeds,我了解到建议使用以下过程以免受 Heartbleed 漏洞的影响(假设用户的浏览器对已撤销的 TLS 证书做出正确反应,我知道可能不会现在所有浏览器都是如此,但我们暂时把这个问题放在一边):
- 升级到补丁版本的openssl
- 重新生成 TLS 证书 ( rekey )
- 撤销之前的证书
执行前面的步骤将:
- 防止利用 Heartbleed 漏洞窃取新密钥(因为 1. 和 2.)
- 使用被盗密钥保护用户免受中间人攻击(因为 3.)
现在,我知道有多种工具可以查看网站当前是否不安全(1. 未更新)或潜在易受攻击(2. 未更新密钥),但我如何知道网站是否撤销了其先前的证书?
我相信我可以使用工具(我假设使用 OCSP 或 CRL)检查特定密钥(如果已知),但是有没有办法访问网站的先前密钥?
这纯粹是出于好奇,但我想验证一个网站何时说"we are safe now"他们确实撤销了他们的证书以及更新 openssl 并重新生成密钥。
非常感谢您宝贵的时间,并原谅我在信息安全领域缺乏知识而造成的潜在错误。