Что мне делать с ошибкой Heartbleed для сайтов, которые я запускаю?


9

Недавно объявленная ошибка Heartbleed в OpenSSL затрагивает многие сайты (70% Интернета).

Есть сайт:

http://www.heartbleed.com

Есть веб-тест:

http://filippo.io/Heartbleed/

Что я должен сделать, чтобы защитить сайты, которые я запускаю?



5
… А также StackExchange для специалистов по безопасности. См. Security.stackexchange.com/questions/55076 и security.stackexchange.com/questions/tagged/heartbleed .
JdeBP

4
Каждый крупный сайт, связанный с компьютерами SE, теперь имеет этот вопрос ... Вероятно, скоро он будет задан даже на cooking.stackexchange.com : D
VL-80

Я добавил версию этого вопроса для конечных пользователей по адресу superuser.com/questions/739260/… (но кто-то уже отклонил ее без объяснения причин).
Данортон

1
@Nikolay, теперь я очень хочу спросить это на cooking.se ...
Джо

Ответы:


7

Вам следует:

  • Обновите вашу систему до последней версии OpenSSL
  • Создайте новые ключи и сертификаты для сервисов, использующих OpenSSL, и перезапустите их.
  • Отзыв прежних сертификатов
  • Отменить все установленные сеансы

Я не думаю, что вы знаете некоторые хорошие четкие инструкции для последних трех шагов, не так ли?
Пол Д. Уэйт

Отзыв и восстановление производственных сертификатов обычно включает в себя любой процесс, выполняемый вашим ЦС. Так как это варьируется от одного CA к следующему ...
Роджер Липскомб

Как обновить вашу систему, зависит от вашего менеджера пакетов. Отмена сессий зависит от приложения. Что касается сертификатов, вам придется связаться с вашим центром сертификации, но первым шагом должно стать создание нового ключа и CSR openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr:!
Выполняет

4

Украденный из комментария Reddit.

  1. Обновите вашу систему:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Перезагрузите сервер

  3. openssl version -a чтобы убедиться, что у вас последняя версия!


ОП доставляет!
Я Джон Галт

1
@IamJohnGalt Это не похоже на закрытый сейф или что-то в этом роде. ;)
Ƭᴇcʜιᴇ007

14
Это не достаточно. Ключи SSL необходимо заменить, без этого патч все равно сделает вас уязвимыми для кражи ключей в прошлом.
Kyeotic

Это предполагает, что ваша система использует в apt-getкачестве менеджера пакетов. Вопрос не предполагает, что это обязательно так.
Майкл

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.