Heartbleed, alebo čo by ste mali vedieť


  • Zdieľať na Google+

Čo je to Heartbleed?
Heartbleed je názov implementačnej chyby v OpenSSL knižnici. Táto open source knižnica obsahovala viac ako dva roky fatálnu bezpečnostnú chybu. Útočníci tak v čase od zverejnenia chyby mohli nazrieť do veľkej časti šifrovanej komunikácie na Internete.

Chybu v OpenSSL knižnici sme fixli hneď
Ihneď po zverejnení tejto informácie sme knižnicu aktualizovali na najnovšiu a opravenú verziu. Taktiež sme vymenili SSL kľúče na serveroch v rámci infraštruktúry Websupportu. V tomto zmysle sa vás môže poštový klient pri prihlasovaní na náš mailserver v tvare smtp.vasadomena.sk spýtať na potvrdenie nového certifikátu. V tom prípade stačí opäť len potvrdiť.

Je moja stránka v bezpečí?
Napriek nízkemu riziku zneužitia budeme postupne meniť aj SSL certifikáty, ktoré Websupport dodal svojim zákazníkom a sú prevádzkované na našom zdieľanom hostingu. Zákazníci, ktorí používajú nami vydané SSL certifikáty na svojich serveroch, môžu po zvážení možných rizík a prácnosti výmeny taktiež požiadať o ich výmenu.

Čo môžem urobiť ako koncový užívateľ?
Ak existuje istá pravdepodobnosť, že bol Heartbleed bug niekomu známy aj pred zverejnením, odporúčame každému, aby si zmenil všetky citlivé prístupové údaje na webové stránky, online služby, či poštové schránky.

Viac informácií nájdete na stránke Heartbleed

Komentáre

  • Peto
    Odpovedať
    Autor
    Peto

    http://xkcd.com/1354/ – Heartbleed Explanation 🙂

  • michal
    Odpovedať
    Autor
    michal

    velmi zaujimave ze dokonca aj banky pouzivali tieto chybne certif. ale podla ich vyjadreni po zverejneni ich aktualizovali otazne je len po akom case od zverejnenia 🙂 uvidime co prinesie kyberdoba noveho do buducna 😀 budeme si davat zamky na PC :d

    • Wiro
      Odpovedať
      Autor
      Wiro

      Niesom si isty co mate presne na mysli. Certifikaty ako take su bezpecne. Chyba o ktorej sa tu hovori je chyba v protokole TLS cize v komunikacii so serverom. Certifikaty same o sebe su vporiadku, jediny problem je, ze existuje urcita pravdepodobnost, ze niekto ziskal privatny kluc.

      • sg
        Odpovedať
        Autor
        sg

        nie je to chyba v protokole, ale v implementacii

      • janc1c1
        Odpovedať
        Autor
        janc1c1

        Kedze websupport je dost velky a ma vela zakaznikov tak je zaujimavy aj pre potencialneho utocnika. Utocnik mohol dost dlhu dobu ziskavat citlive data. Takze to ze websupport vymenil certifikaty je dobre lebo v ich pripade je ta pravdepodobnost velka.

  • Lars Schotte
    Odpovedať
    Autor
    Lars Schotte

    Ale ze to bola sranda, ako zacali behat ludie ako splasene kone, ked sa im OpenSSL rozpadol. To som si hnet povedal, ze aka to bolo odemna dobre postavenie, temu celemu neverit a aj tak cez to robit HMAC / DIGEST authentifikaciu.
    A ked by mi aj niekdo teraz vedel dekryptovat komunikaciu, tak co? Get a life!