Tidak, Anda tidak perlu repot untuk memperbaruinya.
Memang benar bahwa sekarang bug heartbleed (mungkin) telah mengekspos kunci pribadi Anda, pihak ketiga di jalur jaringan di antara pengguna Anda dan server Anda ("man in the middle") dapat melihat semua data seperti itu tidak dienkripsi.
Namun, untuk sertifikat snakeoil, itu tidak jauh berbeda dari kasus penggunaan reguler dari kunci yang tidak dikompromikan, karena serangan MITM pada sertifikat non-CA pada praktiknya sama sepele . (perhatikan bahwa ada perbedaan teknis antara kedua masalah keamanan tersebut, tetapi dalam praktiknya keduanya memiliki "bobot" yang sama, sehingga tidak membuat banyak perbedaan di dunia nyata)
Karena Anda menggunakan sertifikat snakeoil (bukan milik Anda, atau CA tepercaya lainnya) dan mungkin mengabaikan peringatan apa pun pada sertifikat tersebut, Anda harus mengetahui bahwa data apa pun pada koneksi SSL semacam itu benar-benar tidak lebih aman daripada koneksi plaintext. sertifikat snakeoild hanya dimaksudkan agar Anda secara teknis menguji koneksi sebelum menginstal sertifikat asli (baik ditandatangani oleh CA Anda sendiri dan tergantung pada PKI Anda - lebih disukai tetapi jauh lebih banyak pekerjaan; atau menaruh kepercayaan pada CA komersial, dan membayar lebih sedikit pekerjaan tetapi lebih rendah keamanan)
Jadi secara umum bug heartbleed memiliki dua efek:
- memungkinkan memori acak dibaca; yang diperbaiki saat menerapkan pembaruan keamanan
- membuat Anda tidak yakin apakah sertifikat SSL yang ditandatangani CA Anda sekarang (dari segi keamanan) sama tidak berharganya dengan snakeoil (dan karenanya harus dibuat ulang dan diterbitkan kembali dari sumber tepercaya). Dan jika Anda menggunakan snakeoil sejak awal, itu jelas bukan masalah.