Co powinienem zrobić z błędem Heartbleed dla stron, które prowadzę?


9

Niedawno ogłoszony błąd Heartbleed w OpenSSL dotyczy wielu witryn (70% Internetu).

Jest strona internetowa:

http://www.heartbleed.com

Istnieje test internetowy:

http://filippo.io/Heartbleed/

Co powinienem zrobić, aby chronić witryny, które prowadzę?



5
… A także StackExchange dla specjalistów ds. Bezpieczeństwa. Zobacz security.stackexchange.com/questions/55076 i security.stackexchange.com/questions/tagged/heartbleed .
JdeBP

4
Każda ważna strona związana z komputerami SE ma teraz to pytanie ... Prawdopodobnie wkrótce zostanie zadane nawet na cooking.stackexchange.com : D
VL-80

Dodałem wersję tego pytania dla użytkownika końcowego na stronie superuser.com/questions/739260/... (ale ktoś już to ocenił, bez wyjaśnienia).
danorton

1
@Nikolay, teraz mam wielką ochotę zapytać o gotowanie.se ...
Joe

Odpowiedzi:


7

Powinieneś:

  • Zaktualizuj system do najnowszej wersji OpenSSL
  • Wygeneruj nowe klucze i certyfikaty dla usług opartych na OpenSSL i zrestartuj je
  • Odwołaj poprzednie certyfikaty
  • Unieważnij wszystkie ustanowione sesje

Nie sądzę, że znasz jakieś dobre jasne instrukcje dotyczące ostatnich trzech kroków, prawda?
Paul D. Waite,

Odwołanie i zregenerowanie certyfikatów produkcyjnych zwykle wiąże się z dowolnym procesem stosowanym przez urząd certyfikacji. Ponieważ różni się w zależności od CA ...
Roger Lipscombe

Sposób aktualizacji systemu zależy od menedżera pakietów. Sesje unieważniania zależą od aplikacji. Co do certyfikatów, musisz skontaktować się z CA ale pierwszym krokiem powinno być, aby wygenerować nowy klucz i CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Executifs,

4

Skradzione z komentarza reddit.

  1. Zaktualizuj swój system:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Uruchom ponownie serwer

  3. openssl version -a aby upewnić się, że masz najnowszą wersję !!


OP dostarcza!
Jestem John Galt,

1
@IJJohnGalt To nie jest tak, że jest to zamknięty sejf czy coś takiego. ;)
ᴇcʜιᴇ007

14
To nie wystarcza. Klucze SSL należy wymienić, ale bez tego łatka nadal naraża cię na kradzież kluczy w przeszłości.
Kyeotic,

Zakłada się, że system używa apt-getjako menedżera pakietów. Pytanie nie sugeruje, że tak właśnie jest.
Michael

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.