¿Heartbleed significa nuevos certificados para cada servidor SSL?

Significa mucho más que solo nuevos certificados (o más bien, nuevos pares de claves) para cada servidor afectado. También significa:

• Aplicar parches a los sistemas afectados a OpenSSL 1.0.1g
• Revocación de los antiguos par de llaves que fueron reemplazados
• Cambiando todas las contraseñas
• Invalidar todas las claves de sesión y cookies
• Evaluar el contenido real manejado por los servidores vulnerables que podrían haberse filtrado y reaccionar en consecuencia.
• Evaluar cualquier otra información que pueda haber sido revelada, como direcciones de memoria y medidas de seguridad

Resumido de heartbleed.com (el énfasis es mío):

  

¿Qué es el material de clave principal filtrado y cómo recuperarlo?

     

Estas son las joyas de la corona, las propias claves de cifrado . Filtrado   las claves secretas permiten al atacante descifrar cualquier tráfico pasado y futuro   A los servicios protegidos y suplantar el servicio a voluntad. Alguna   Protección dada por el cifrado y las firmas en el X.509.   Los certificados pueden ser anulados. La recuperación de esta fuga requiere   parcheando la vulnerabilidad, revocación de las claves comprometidas y   Reedición y redistribución de nuevas claves. Incluso haciendo todo esto todavía   dejar cualquier tráfico interceptado por el atacante en el pasado todavía   vulnerable al descifrado. Todo esto tiene que ser hecho por los dueños de la   servicios.

     

¿Qué es el material clave secundario filtrado y cómo recuperarlo?

     

Estas son, por ejemplo, las credenciales de usuario (nombres de usuario y   contraseñas) utilizadas en los servicios vulnerables. Recuperación de estas fugas.   Requiere que los propietarios del servicio primero restauren la confianza en el servicio.   De acuerdo con los pasos descritos anteriormente. Después de esto los usuarios pueden comenzar   cambiando sus contraseñas y posibles claves de cifrado de acuerdo con la   Las instrucciones de los propietarios de los servicios que han sido   comprometida. Todas las claves de sesión y las cookies de sesión deben ser invalidadas   y considerado comprometido.

     

¿Qué es el contenido protegido filtrado y cómo recuperarlo?

     

Este es el contenido real manejado por los servicios vulnerables . Eso   Pueden ser detalles personales o financieros, comunicación privada como   Correos electrónicos o mensajes instantáneos, documentos o cualquier cosa vista que valga la pena.   Protección mediante encriptación. Sólo los propietarios de los servicios podrán   estimar la probabilidad de lo que se ha filtrado y deben notificar   sus usuarios en consecuencia. Lo más importante es devolver la confianza a   el material de la clave primaria y secundaria como se describe anteriormente. Solo esto   permite el uso seguro de los servicios comprometidos en el futuro.

     

¿Qué es la garantía filtrada y cómo recuperarla?

     

Las garantías filtradas son otros detalles que se han expuesto a la   atacante en el contenido de la memoria filtrada. Estos pueden contener técnicas   Detalles tales como direcciones de memoria y medidas de seguridad tales como   Canarios utilizados para proteger contra los ataques de desbordamiento. Estos tienen solo   valor contemporáneo y perderá su valor para el atacante cuando   OpenSSL se ha actualizado a una versión fija.

Este es el peor escenario, según lo descrito por Codenomicon que configuró el sitio web citado.

La descripción de vulnerabilidad "en bruto" es:

  

Una comprobación de límites faltantes en el manejo de la extensión de latido de TLS   se puede usar para revelar hasta 64k de memoria a un cliente conectado o   servidor.    ( OpenSSL )

No estoy diciendo que hayan ido demasiado lejos, ES muy mal, pero:

• Verifique su versión de OpenSSL (no todas las versiones están afectadas).

• Aún mejor, pruébalo:

  openssl s_client -connect example.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

• O use enlace

Luego, si estaba usando Perfect Forward Secrecy (PFS), los datos intercambiados no se pueden descifrar, a menos que se realice un MITM.

Para realizar un ataque MITM, el pirata informático tenía que conocer la vulnerabilidad y explotarla con éxito. Un atacante puede intentar acceder a partes aleatorias de 64ko de memoria sin que se note, al hacerlo, debería poder obtener parte de la memoria donde se almacena la clave privada.

Para responder a la pregunta, si eres vulnerable al error Heartbleed. Sí, tienes que cambiar tus claves privadas y certificados. Y si desea estar en el lado seguro, revise aproximadamente 2 años de archivos de registro para asegurarse de que nadie haya utilizado Heartbleed en su sitio o simplemente realice de forma segura las operaciones ya mencionadas.

El problema del uso de la nueva clave / certificado SSL para todos los servidores a menudo es exagerado. Tienes que asumir

• Existe un hacker que conoce el Heartbleed antes de que arregle el openssl
• A él / ella le interesa hackear sus servidores, no otros sitios web populares
• Él / ella tiene la capacidad de extraer la clave privada de la memoria del servidor de 64K, debe ser un pirata informático muy sofisticado
• Él / ella puede interceptar la red local (usuario / servidor) y puede descifrar el tráfico

Dadas todas las condiciones, entonces usted juzga si necesita actualizar el certificado / clave SSL.

No estoy diciendo que no deberías , solo digo que a veces las personas en la red escuchan a otros ciegamente y dicen que si no haces eso, tu sitio será hackeado al 100%, es solo FUD, IMHO

Si la persona está recopilando estos datos de 64 K hasta que finalmente capturen la clave privada, pueden descifrar todo lo que han recopilado (y recopilar más). Así es como un atacante puede tomar nombres de usuario y contraseñas sin ser un MITM. Si la persona puede obtener la clave privada, el resto es bastante fácil.