更新openssl（令人沮丧的）后，我是否必须更新我的snakeoil证书？

我刚刚将我的debian wheezy服务器更新为openssl软件包的最新版本，该版本已修复了流血的错误。

我的服务器上确实支持SSL，但仅带有蛇油证书。我只是想知道是否真的还有关于更新蛇油证书的安全问题，或者我是否可以直接保留它，因为它仍然是蛇油证书？

这个问题可能是由于我对ssl缺乏了解...但是在此先感谢您作出任何解释，如果我应该更改我的蛇油证书，是的话，为什么:)

不，您无需费心更新它们。

的确，既然令人讨厌的错误（可能）已经暴露了您的私钥，则用户和服务器之间的网络路径上的任何第三方（“中间人”）都可以看到所有未经加密的数据。

但是，对于蛇油证书，这与非破坏性密钥的常规使用情况并没有太大区别，因为在实践中，对非CA证书的MITM攻击同样是微不足道的。（请注意，这两个安全问题之间存在技术上的差异，但实际上它们具有相同的“权重”，因此在现实世界中并没有太大区别）

由于您使用的是蛇油证书（而不是您自己的证书或某些其他受信任的CA），因此大概会忽略此类证书上的任何警告，因此您应该意识到，此类SSL连接上的任何数据实际上都不比纯文本连接安全。snakeoiled证书仅用于使您在安装真实证书之前进行技术上的测试（由您自己的CA签名并取决于您的PKI-更好，但可以做更多的工作；或者信任某些商业CA，并为较少的工作但较低的费用付费安全）

因此，一般而言，令人流血的bug有两个影响：

1. 允许随机读取内存；在应用安全更新时已修复的问题
2. 使您不确定您的CA签名SSL证书现在（在安全方面）是否像蛇油证书一样毫无价值（因此必须从受信任的来源重新生成和重新发行）。而且，如果您首先使用的是蛇油，那显然不是问题。

好吧，对于初学者，您不应该使用snakeoilcert。

为了适当减轻心脏出血漏洞的攻击，你必须 REVOKE潜在泄漏的证书，你一般不能做snakeoil或其他自签名的证书。

如果您买不起真实的证书颁发机构颁发的证书（或者您在私人环境中工作），则应设置自己的CA并发布适当的证书吊销列表，以便减轻此类妥协（以及丢失的密钥）等），
我知道这还有很多工作要做，但这是正确的做事方式。

话虽如此，是的 - 如果要确保将来通信的安全性和完整性，必须替换此证书和密钥，因此现在是切换到由已知证书颁发机构颁发的密钥或建立自己的证书的好时机内部CA。

假设您（或客户，用户等）曾经通过或将通过SSL传递敏感信息，是的。密码，您想要加密的其他任何东西，因为您不需要明文形式的密码。是。

如果您真的不在乎那些东西是否像纯文本一样在野外泛滥，那就不要。

如果您确实需要，请不要忘记在放新证书之前更改私钥。