Я выполняю свой собственный сервер OpenVPN, начиная с исследования heartbleed я обновил OpenSSL, изменил пароль сервера и выполнил команду./clean-all для стирания всех ключей и сертификатов. И конечно, я генерирую новые.
Мое сомнение/вопрос:
./clean-all достаточно безопасно избежать несанкционированного доступа к моей VPN? Предположение, что любой из ключей доступа был украден.
./clean-all уничтожает Ваш $KEY_DIR (огибающая переменная, обычно устанавливаемая с помощью./Вара сценариев). Содержание сценария ниже. Это должно означать, что основополагающие ключи, которые делают Ваш CA, являются тостом, и Вы должны быть вынуждены выполнить сборку приблизительно для создания новых сертификатов. Это означает, что Вы в безопасности от нападений на MitM с помощью старых ключей, должен, они были скомпрометированы. Вы сорвали основу и полностью заменили ее от CA.
#!/bin/sh
#
# Initialize the $KEY_DIR directory.
# Note that this script does a
# rm -rf on $KEY_DIR so be careful!
#
d=$KEY_DIR
if test $d; then
rm -rf $d
mkdir $d && \
chmod go-rwx $d && \
touch $d/index.txt && \
echo 01 >$d/serial
else
echo you must define KEY_DIR
fi