4

Ситуация 1 (безопасная):

  • Сайт был уязвим для сердцебиения и использует сертификат, недействительный до 2012-10-21
  • Сайт обновлен до уязвимой версии OpenSSL
  • Сайт переименован и получил переоформленный сертификат, с той же недействительной датой 2012-10-21
  • Сегодня, когда я проверяю сайт, я обнаружил, что он не подвержен сердечному кровотечению, и использую сертификат с недействительной датой до 2012-10-21

Ситуация 2 (небезопасно):

  • Сайт был уязвим для сердцебиения и использует сертификат, недействительный до 2012-10-21
  • Сайт обновлен до уязвимой версии OpenSSL
  • Сегодня, когда я проверяю сайт, я обнаружил, что он не подвержен сердечному кровотечению, и использую сертификат с недействительной датой до 2012-10-21

Насколько я понимаю, эти две ситуации неразличимы для меня как конечного пользователя, который никогда ранее не посещал данный веб-сайт. Что мне не хватает?


К вашему сведению, ситуация 1, очевидно, относится к * .wikipedia.org. Они сказали, что именно так Digicert переиздает сертификаты.

2 ответа2

0

В Zmap.io есть список изменений в сертификатах для 5000 самых популярных сайтов. Обратите внимание , что дата в списке есть не полагаться на не действительны до даты самого сертификата и , следовательно , должна представлять собой точную дату , когда сертификат последнего изменения. (Я использовал Wikipedia.org, чтобы проверить это, так как они получают свои сертификаты от DigiCert, который датирует дату недействительности до переназначения сертификатов.)

Они ссылаются на необработанные данные, которые они использовали и которые, по-видимому, охватывают гораздо больше, чем просто топ-5000 сайтов, но в то время, когда я пишу это, сайт не отвечает.

Еще один проект, который собирает отпечатки сертификатов, - это Convergence. Я еще не исследовал, можно ли извлечь из него отпечатки пальцев и даты, но если вы использовали его до HeartBleed, он, вероятно, предупредит вас об изменении сертификата сайта (если большинство других пользователей, уже использующих его, не приняли новый сертификат для этого сайта). По иронии судьбы, никакое предупреждение в этой ситуации не будет указывать на то, что вы не в безопасности, а предупреждение будет указывать на то, что вы в безопасности.

0

Вы можете выполнить поиск CRL Центра сертификации (например, http://www.verisign.com/repository/crl.html от VeriSign) и посмотреть, отозвали ли они недавно старый сертификат, но для этого вам, как правило, понадобится старый сертификат. серийный номер. Вы также можете, если бы у вас был старый серийный номер, просто сравнить его с новым.

Проблема в том, что на самом деле вы мало что можете сделать, чтобы увидеть, если это другой сертификат, чем раньше без старого серийного номера сертификата.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .