RapidSSL
Important Service Notification
Dear Yoshinari Takaoka,
RapidSSL is aware of the vulnerability, dubbed “Heartbleed”, which is a security concern for
users of OpenSSL, a widely-used opensource cryptographic software library. It can allow attackers
to read the memory of the systems using vulnerable versions of OpenSSL library (1.0.1 through
1.0.1f). This may disclose the secret keys of vulnerable servers, which allows attackers to
decrypt and eavesdrop on SSL encrypted communications and impersonate service providers. In
addition, other data in memory may be disclosed, which conceivably could include usernames and
passwords of users or other data stored in server memory.
(...以下略。鍵を含めた証明書の更新と古い証明書の失効化を求める内容)
a) OpenSSL をアップデートする
b) 古い証明書のシリアルナンバーと Common Name, 発行日時を以下のコマンドでメモする。
1234567891011
$ openssl x509 -in server.pem.old -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 520431 (0x7f0ef)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA
Validity
Not Before: Aug 24 08:43:44 2012 GMT
Not After : Aug 27 02:46:21 2014 GMT
Subject: (.snip) CN=www.mumumu.org
c) 証明書を更新してインストールする
d) RapidSSL の Order ID と 上記 a) の情報を証明を取得した業者にメールする。自分の場合は RapidSSL JP から取得したので、そこに連絡しておいた。彼らは失効化に関する情報を公開している
d-1) 上記の注意点として、特にシリアルナンバーを間違えると間違った証明書が失効してしまう。また、証明書を更新せずに今使っている証明書を失効化してしまうと再発行すらできなくなってしまう。マジで注意。