Heartbleed มีความเสี่ยงต่อการสื่อสาร HTTPS ที่ผ่านมาหรือไม่?

Heartbleed ทำให้เกิดภัยคุกคามที่หน่วยความจำคอมพิวเตอร์อาจมีความเสี่ยง

พิจารณาฝ่ายตรงข้ามด้วยการเข้าถึงอินพุตและเอาต์พุตข้อความเข้ารหัสทั้งหมดของเซิร์ฟเวอร์ของคุณ (ISP, รัฐบาล, เครือข่ายท้องถิ่น) หากพวกเขาสามารถเข้าถึงการสื่อสาร HTTPS ก่อนหน้า (เมื่อวานนี้, ปีที่แล้ว) บนเซิร์ฟเวอร์ของคุณและตอนนี้เข้าถึงหน่วยความจำของพวกเขาพวกเขาจะสามารถถอดรหัสข้อความที่ผ่านมาได้หรือไม่?

ssl https heartbleed

— William Entriken
แหล่งที่มา

การแก้ไข OpenSSL เพียงอย่างเดียวไม่ควรเป็นทางออกเดียว SSL Certs ควรถูกสร้างใหม่อีกครั้ง

— kobaltz

นี่เป็นคำถามด้านความปลอดภัยเพิ่มเติม SE หรือ cryptography.SE ทั้งหมดนี้ขึ้นอยู่กับอัลกอริทึมการเข้ารหัสและชนิดของการแฮชที่ใช้ นอกจากนี้ - มีความเกี่ยวข้องกับ SSL / TLS โปรดทราบว่า SSL / TLS ไม่ได้ถูกบุกรุก แต่เป็นการใช้งานมัน

— Raystafarian

ไม่จริงมันลงตัวพอดีที่นี่; ต้องการเพียงถ้อยคำอีกครั้ง: ฉันต้องกังวลเกี่ยวกับไซต์ที่ได้รับผลกระทบที่เคยใช้มาก่อน (อ่านสัปดาห์หรือเดือนก่อน)?

— Synetech

@ เต็มคุณค่าคุณอาจต้องการพิจารณาขยายคำถามเพื่อรวมถึงสถานการณ์ที่ไม่มีการต๊าดสายโดยเฉพาะในอดีต จากนั้นจะนำไปใช้กับผู้ชมที่กว้างขึ้นและได้รับความสนใจมากขึ้น

— Synetech

เพื่อความสมบูรณ์ (หากได้รับผลกระทบด้วยวิธีนี้) ฉันจะเสนอราคาhttp://heartbleed.com/ :

วัสดุหลักสำคัญที่รั่วไหลออกมาคืออะไรและจะกู้คืนได้อย่างไร?

เหล่านี้คือรัตนากรมงกุฎ, ปุ่มเข้ารหัสตัวเอง คีย์ลับที่รั่วไหลออกมาจะช่วยให้ผู้โจมตีสามารถถอดรหัสทราฟฟิกทั้งในอดีตและในอนาคต ไปยังบริการที่ได้รับการปกป้อง การป้องกันใด ๆ ที่กำหนดโดยการเข้ารหัสและลายเซ็นในใบรับรอง X.509 สามารถข้ามได้ การกู้คืนจากการรั่วไหลนี้ต้องการการแก้ไขช่องโหว่การเพิกถอนคีย์ที่ถูกบุกรุกและการออกใหม่และการกระจายคีย์ใหม่ แม้การกระทำทั้งหมดนี้จะยังคงมีการรับส่งข้อมูลที่ถูกดักโดยผู้โจมตีในอดีตยังคงมีความเสี่ยงต่อการถอดรหัส ทั้งหมดนี้จะต้องทำโดยเจ้าของบริการ

— Raystafarian
แหล่งที่มา

เว้นแต่ของหลักสูตรเซิร์ฟเวอร์ใช้ที่สมบูรณ์แบบเป็นความลับไปข้างหน้า จากheartbleed.com : "การใช้งาน Perfect Forward Secrecy (PFS) ซึ่งน่าเสียดายที่หายาก แต่ทรงพลังควรปกป้องการสื่อสารที่ผ่านมาจากการถอดรหัสแบบย้อนหลัง"

— หนัก