Что мне делать с ошибкой Heartbleed для сайтов, которые я запускаю?

Недавно объявленная ошибка Heartbleed в OpenSSL затрагивает многие сайты (70% Интернета).

Есть сайт:

http://www.heartbleed.com

Есть веб-тест:

http://filippo.io/Heartbleed/

Что я должен сделать, чтобы защитить сайты, которые я запускаю?

openssl heartbleed

— Мэтт Круикшанк
источник

Лучше ответили о сбое сервера - Heartbleed: что это такое и какие варианты можно смягчить?

— Сатьяджит Бхат

… А также StackExchange для специалистов по безопасности. См. Security.stackexchange.com/questions/55076 и security.stackexchange.com/questions/tagged/heartbleed .

— JdeBP

Каждый крупный сайт, связанный с компьютерами SE, теперь имеет этот вопрос ... Вероятно, скоро он будет задан даже на cooking.stackexchange.com : D

— VL-80

Я добавил версию этого вопроса для конечных пользователей по адресу superuser.com/questions/739260/… (но кто-то уже отклонил ее без объяснения причин).

— Данортон

@Nikolay, теперь я очень хочу спросить это на cooking.se ...

— Джо

Ответы:

Вам следует:

Обновите вашу систему до последней версии OpenSSL
Создайте новые ключи и сертификаты для сервисов, использующих OpenSSL, и перезапустите их.
Отзыв прежних сертификатов
Отменить все установленные сеансы

— Executifs
источник

Я не думаю, что вы знаете некоторые хорошие четкие инструкции для последних трех шагов, не так ли?

— Пол Д. Уэйт

Отзыв и восстановление производственных сертификатов обычно включает в себя любой процесс, выполняемый вашим ЦС. Так как это варьируется от одного CA к следующему ...

— Роджер Липскомб

Как обновить вашу систему, зависит от вашего менеджера пакетов. Отмена сессий зависит от приложения. Что касается сертификатов, вам придется связаться с вашим центром сертификации, но первым шагом должно стать создание нового ключа и CSR openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr:!

— Выполняет

Украденный из комментария Reddit.

Обновите вашу систему:

sudo apt-get update
sudo apt-get upgrade

Перезагрузите сервер
openssl version -a чтобы убедиться, что у вас последняя версия!

— Мэтт Круикшанк
источник

ОП доставляет!

— Я Джон Галт

@IamJohnGalt Это не похоже на закрытый сейф или что-то в этом роде. ;)

— Ƭᴇcʜιᴇ007

Это не достаточно. Ключи SSL необходимо заменить, без этого патч все равно сделает вас уязвимыми для кражи ключей в прошлом.

— Kyeotic

Это предполагает, что ваша система использует в apt-getкачестве менеджера пакетов. Вопрос не предполагает, что это обязательно так.

— Майкл

Более конкретно для Ubuntu или Debian в целом

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ссылка http://www.ubuntu.com/usn/usn-2165-1/

— rleir
источник