¿Heartbleed afecta a los servidores si OpenSSL solo se usó para generar el certificado?

7

Construí una aplicación que genera solicitudes de firma de certificado (CSR) usando el módulo PHP OpenSSL.

¿Existe alguna manera de que el error HeartBleed pueda afectar estas claves privadas (en uso) y CSR que se generaron mientras se instaló OpenSSL 1.0.1e en el servidor web generador?

    
pregunta Elijah Paul 09.04.2014 - 04:55
fuente

1 respuesta

10

El error solo afecta a las conexiones TLS que habilitan Heartbeats, no a otras partes de OpenSSL. Las partes no afectadas incluyen la generación de claves, la firma de certificados, los resúmenes de generación, la generación aleatoria de bytes, etc.

Además, este error no puede "infectar" de ninguna manera este certificado, por lo que conlleva un riesgo para otros componentes. Por ejemplo, los certificados generados por OpenSSL 1.0.1g no serán mejores o peores que los generados por 1.0.1f (que tiene el error Heartbleed).

    
respondido por el Lekensteyn 09.04.2014 - 18:13
fuente

Lea otras preguntas en las etiquetas