用户遇到 Heartbleed 等漏洞时,需要立即更换。但核心原则是,必须在完成漏洞修复(给服务器打补丁)之后,才能安装新的证书。如果顺序反了,新证书的私钥同样有被窃取的风险。之所以要这样做,是因为Heartbleed这类漏洞虽然出在OpenSSL软件上,并非SSL证书本身有缺陷,但你的私钥在修复前的服务器上可能已经被窃取了。
针对这类情况,权威机构和证书颁发机构都给出了标准的应急响应流程,你可以参考以下步骤操作:
一、标准处理步骤
1. 第一步:修补漏洞(必须先做)
立即升级服务器上的OpenSSL到已修复的版本(如1.0.1g及以上),或者应用相应的安全补丁。
重要提示:必须先打好补丁,再安装新证书。如果先装新证书,新私钥会再次暴露在风险中,让所有努力白费。
2. 第二步:生成新密钥并补发证书
在已修复的服务器上,生成一套全新的证书签名请求(CSR)和新的私钥。
向你的证书颁发机构(CA)提交补发证书的请求。在Heartbleed这样的重大安全事件中,很多CA(如Sectigo、DigiCert、SSLs.com)都提供免费补发服务。
3. 第三步:安装并吊销旧证书
将新颁发的证书安装到已修复的服务器上。
确认新证书正常工作后,立即吊销可能已被泄露的旧证书。这是为了防止攻击者利用旧证书和可能窃取到的私钥来冒充你的网站。
4. 第四步:事后排查
建议重置所有用户的密码,特别是那些可能在漏洞暴露期间登录过的用户。
使用SSL Labs等在线工具扫描你的服务器,确认Heartbleed漏洞已被彻底修复。
如果我知道服务器目前使用的是哪种Web软件(如Nginx, Apache)和操作系统,我可以帮用户查找针对性的 OpenSSL 升级命令。
