La CA raíz normal y seria está fuera de línea Se alojan en máquinas que nunca están conectadas a cualquier tipo de red. Esto tiende a hacerlos inmunes a los ataques remotos, y ese es el punto.
Técnicamente, las razones que han justificado la renovación de la clave ("el error estaba allí, por lo que podría haber habido un compromiso que no conocemos") siguen siendo válidas: sería absurdo para afirmar que encontramos y eliminamos el último error en OpenSSL o, en realidad, en Apache (OpenSSL es una biblioteca, se carga en el espacio de direcciones del servidor de Apache, por lo que cualquier error similar en Apache sería igual devastador). Por lo tanto, deben quedar algunos errores, y su nueva clave está tan "potencialmente comprometida" como la anterior. Así que no te preocupes ...
O dicho de otra manera: todo el pánico del corazón se basa en una sospecha de posible violación, que lógicamente todavía se aplica, y siempre se ha aplicado desde los primeros días de las redes. El error "del corazón del corazón" no es nada nuevo cualitativamente; Los errores con ese nivel de seriedad se encuentran varias veces al año en cualquier pieza significativa de software. Podemos concluir que "no podemos estar seguros de nada" y eso sería matemáticamente cierto, pero poco práctico. Si queremos aferrarnos a la idea de que las computadoras y las redes todavía son utilizables, debemos aceptar que existen errores, algunos de ellos son vulnerabilidades , y las estrategias habituales (aplicar soluciones de seguridad tan pronto como los proveedores publican ellos) es una estrategia válida que permitirá que nuestros servidores permanezcan ilesos la mayor parte del tiempo.
Como me dijo ayer un colega mío: agrupar peces en enjambres (técnicamente llamados cardúmenes y escuelas ) para protegerse a sí mismos de los depredadores. Cuando un delfín toma un pez, ese pez específico probablemente piensa "¿por qué yo?" y tiene un sentimiento de injusticia; pero la estrategia de shoaling sigue siendo efectiva en promedio .
En gran medida, eso es lo que hacemos con el mecanismo de publicación de vulnerabilidades y parches de seguridad. Se puede encontrar una vulnerabilidad porque se ha observado que la utiliza un depredador, y eso es muy malo para la víctima, pero al menos el resto del enjambre se beneficia de la experiencia. Realmente nos gustaría ser más proactivos y desarrollar código sin errores, pero lamentablemente, Science no ha encontrado una manera de evitar errores en el software de manera confiable (aunque los idiomas con una tipificación sólida y controles sistemáticos vinculados a matrices pueden ayudar mucho). p>