Čo je to Heartbleed?
Heartbleed je názov implementačnej chyby v OpenSSL knižnici. Táto open source knižnica obsahovala viac ako dva roky fatálnu bezpečnostnú chybu. Útočníci tak v čase od zverejnenia chyby mohli nazrieť do veľkej časti šifrovanej komunikácie na Internete.
Chybu v OpenSSL knižnici sme fixli hneď
Ihneď po zverejnení tejto informácie sme knižnicu aktualizovali na najnovšiu a opravenú verziu. Taktiež sme vymenili SSL kľúče na serveroch v rámci infraštruktúry Websupportu. V tomto zmysle sa vás môže poštový klient pri prihlasovaní na náš mailserver v tvare smtp.vasadomena.sk spýtať na potvrdenie nového certifikátu. V tom prípade stačí opäť len potvrdiť.
Je moja stránka v bezpečí?
Napriek nízkemu riziku zneužitia budeme postupne meniť aj SSL certifikáty, ktoré Websupport dodal svojim zákazníkom a sú prevádzkované na našom zdieľanom hostingu. Zákazníci, ktorí používajú nami vydané SSL certifikáty na svojich serveroch, môžu po zvážení možných rizík a prácnosti výmeny taktiež požiadať o ich výmenu.
Čo môžem urobiť ako koncový užívateľ?
Ak existuje istá pravdepodobnosť, že bol Heartbleed bug niekomu známy aj pred zverejnením, odporúčame každému, aby si zmenil všetky citlivé prístupové údaje na webové stránky, online služby, či poštové schránky.
Viac informácií nájdete na stránke Heartbleed
6 odpovedí na “Heartbleed, alebo čo by ste mali vedieť”
http://xkcd.com/1354/ – Heartbleed Explanation 🙂
velmi zaujimave ze dokonca aj banky pouzivali tieto chybne certif. ale podla ich vyjadreni po zverejneni ich aktualizovali otazne je len po akom case od zverejnenia 🙂 uvidime co prinesie kyberdoba noveho do buducna 😀 budeme si davat zamky na PC :d
Niesom si isty co mate presne na mysli. Certifikaty ako take su bezpecne. Chyba o ktorej sa tu hovori je chyba v protokole TLS cize v komunikacii so serverom. Certifikaty same o sebe su vporiadku, jediny problem je, ze existuje urcita pravdepodobnost, ze niekto ziskal privatny kluc.
nie je to chyba v protokole, ale v implementacii
Kedze websupport je dost velky a ma vela zakaznikov tak je zaujimavy aj pre potencialneho utocnika. Utocnik mohol dost dlhu dobu ziskavat citlive data. Takze to ze websupport vymenil certifikaty je dobre lebo v ich pripade je ta pravdepodobnost velka.
Ale ze to bola sranda, ako zacali behat ludie ako splasene kone, ked sa im OpenSSL rozpadol. To som si hnet povedal, ze aka to bolo odemna dobre postavenie, temu celemu neverit a aj tak cez to robit HMAC / DIGEST authentifikaciu.
A ked by mi aj niekdo teraz vedel dekryptovat komunikaciu, tak co? Get a life!