Al enterarme de la vulnerabilidad de Heartbleed, fui a https://www.openssl.org/source/
para descargar el último parche, pero me sorprendió bastante que el certificado de seguridad de ese sitio no se haya actualizado desde que se descubrió el exploit ("no es válido antes" la fecha es el martes 30 de agosto de 2011, 5:30:50 AM CT).
Entonces, ¿cómo puedo estar seguro de que lo que estoy viendo es el verdadero sitio de OpenSSL y no un impostor que robó su certificado (incluso antes de que se revelara la vulnerabilidad)?
En otras palabras, descargué https://www.openssl.org/source/openssl-1.0.1g.tar.gz
, que dice que el mismo sitio tiene un MD5 de de62b43dfcd858e66a74bee1c834e959
, que sí, pero ¿es esa la huella digital correcta para ese parche? ¿O estoy descargando algo malicioso que tiene una nueva puerta trasera codificada?
ACTUALIZACIÓN: Tras la sugerencia de @Lekensteyn, verifiqué que la firma PGP proporcionada para esa descarga era válida y estaba firmada por la clave 0xFA40E9E2
, que parece ser la clave de Dr Stephen N Henson <[email protected]>
(que el sitio web está de acuerdo con). Pero para estar seguro, asumo que no puedo confiar en el sitio web en este momento. ¿De qué otras maneras puedo obtener fe de que la clave 0xFA40E9E2
es la que debería estar firmando ese lanzamiento?
¿Alguien tiene una descarga de OpenSSL de la rama 0.9.8 (que no fue comprometida por Heartbleed y sería lo suficientemente antigua como para haber sido distribuida antes de la explotación), que puedan verificar que esté firmada por esa misma clave?
Preocupación: encontré this aviso de una actualización del sitio web de OpenSSL, justo antes de que se revelara la vulnerabilidad (2 de abril), y el cambio en el sitio fue para marcar la clave del Dr. Henson como caducada, y agregar 0xFA40E9E2
como su nueva clave, pero esa clave fue creado en 2005? Entonces, es una nueva clave para identificar al Dr. Henson, pero ¿esa es la clave que eligieron para firmar este parche súper importante para Heartbleed? ¿Eso le parece a alguien?