Tengo un certificado ssl gratuito emitido justo antes de que se encontrara Heartbleed. Ahora mi CA quiere que pague 25 $ para revocarlo. ¿Debo pagar o es suficiente para crear un nuevo certificado de otra CA y reemplazar una existente? Teniendo en cuenta que no hay usuarios reales de mi sitio (¿el sitio todavía está en desarrollo y nadie tiene mi antiguo certificado instalado en su navegador todavía?)
Si no utilizó su certificado, no es necesario revocarlo o volver a emitirlo. Parece que CA está ganando más dinero con Heart Bleed.
Si ha usado el certificado, las siguientes cosas podrían estar expuestas al explotar el HeartBleed.
Creo que hay un par de ideas erróneas.
En primer lugar, los navegadores solicitan y verifican el certificado sobre la marcha. Ellos no lo almacenan. Esto se puede hacer manualmente, pero no es común ni útil en casos estándar.
Si alguien ha logrado obtener su certificado y la clave privada correspondiente, ahora "posee" un certificado perfectamente válido para su sitio y puede usarlo cuando lo desee. No importa que haya usado el certificado solo para pruebas y planee comprar uno nuevo. Los navegadores no son conscientes de esto. Aceptarán cualquiera de los dos certificados, bueno, a menos que su CA revoque explícitamente el anterior.
Así que simplemente comprar un nuevo certificado no resuelve el problema. No cambia el hecho de que hay un certificado potencialmente comprometido que podría usarse para un ataque de hombre en el medio contra el sitio.
Es ciertamente molesto pagar dinero extra por la revocación, pero en realidad no hay otra opción. Sin embargo, debes elegir un CA más justo la próxima vez. ;-)
Lea otras preguntas en las etiquetas tls heartbleed