Re: Skript pro kontrolu napadení operací Windigo, test zranitelnosti OpenSSL

[Adam Pribyl]

On Thu, 10 Apr 2014, Jan Marek wrote:

> Dobrý den,
>
> On Thu, Apr 10, 2014 at 03:12:29AM +0200, Ing. Leoš Houser wrote:
>> Zdravím.
>>
>> Osobně jsem přegeneroval všechny certifikáty na systémech, které
>> měly postižené verze OpenSSL. Doporučuji udělat totéž.
>
> omlouvám se, ale co to znamená "přegeneroval"? Revokoval jste je
> a znovu udělal nové? Nebo stačilo spustit nějaký proces
> přegenerace certifikátů na serverech, který je mi zatím utajen?

Podle me je totiz potreba rozlisovat dve veci
1. zda jste si vytvoril vlastni CA a self signed certifikaty
2. mate certifikaty od overene CA

ad 1) V prvni pripade pregenerujete klidne i celou CA, pokud ji ovsem 
pouzivate na vice mistech, tak to asi neni idealni (jestli je to ovsem 
nutne to zatim nevim) a pak staci kdyz vygeneruje novy private key a 
certificate ke vsem mozny SSL sluzbam.

ad 2) mel byste revokovat platnost stareho certifikatu u sve CA a nasledne 
si vygenerovat novy privatni klic a pres CSR (certificate signing 
requeset) si nechat novy certifikat vygenerovat/podepsat u CA.

Budu velice rad pokud me nekdo opravi nebo doplni.


> Zdraví
> Honza Marek
> -- 
> Ing. Jan Marek               | Nez mi poslete prilohu .doc, .xls


Adam Pribyl