Názory k článku Po odhalení bugu Heartbleed si hesla nebo účty změnilo 39 % uživatelů v USA
-
Příště doporučuju nejdřív si přečíst kontext, na který reagujete. Certifikáty se nevyměňují proto, že by certifikáty žádané nebo potvrzované přes OpenSSL byly nějak kompromitované - chyba heartbleed se v OpenSSL nijak netýká zpracování certifikátů. Kvůli chybě heartbleed bylo možné vzdáleně získat části paměti serverového procesu, ve kterých mohly být citlivé údaje - hesla, e-maily, čísla platebních karet - a mimo jiné také privátní klíče, pokud je měl serverový proces nahrané v paměti. To ale nijak nesouvisí s implementací X.509 v OpenSSL.
-
Heartbleed s certifikáty nijak nesouvisí, takže je jedno, zda a kterou verzí OpenSSL byl certifikát generován (samozřejmě pokud ta verze neměla nějakou chybu týkající se certifikátů). Stejně je použití data vystavení certifikátu velmi orientační, certifikát mohl být v dubnu vyměněn i z jiných důvodů, naopak ani u serveru postiženého heartbleed chybou nemusel být důvod certifikát měnit.
-
drum21 (neregistrovaný)
Vsechny certifikaty vydane pred uverejnenim OpenSSL chyby jsou generovany vadnou knihovnou, cca do 03/2014. Tedy kdyz se prihlasis na web pres ssl a najdes detaily k certifikatu, tak te zajima polozka Invalid before...to je datum overeni certifikatu a tedy pravdepodobne i datum jeho vytvoreni. Urcite pujde napsat script, kterym dokazes obehnout weby a tyto informaci ziskat anichz bys musel klikat
ČLÁNKY DO MAILU