OpenSSL Heartbleed

Jistě jste zaznamenali, že v OpenSSL byla objevena velmi závažná bezpečnostní trhlina obecně známá jako Heartbleed (oficiálně je chyba označena jako "CVE-2014-0160"). V tomto článku se pokusíme stručně a srozumitelně vysvětlit, jak situaci napravit.

Týká se Heartbleed mého serveru?

Heartbleed se týká všech serverů s OpenSSL verzí:

  • 1.0.1 až 1.0.1f (včetně)
  • 1.0.2-beta a 1.0.2-beta1

Heartbleed se netýká serverů s OpenSSL:

  • 1.0.1g — v této verzi již opraveno
  • 0.9.8 a 1.0.0 (celé řady)

Pokud si nejste jisti, můžete Heartbleed zranitelnost ověřit zde.

Více o Heartbleed

Heartbleed je chyba knihovny OpenSSL způsobující velmi vážnou zranitelnost, která potenciálním útočníkům umožňuje pohodlně číst paměť systému.

Tato slabina dává komukoliv možnost zjistit privátní klíč a dešifrovat zabezpečenou komunikaci (SSL/TLS), zjistit kterákoliv citlivá data a odcizit osobní údaje (např. hesla).

Více o OpenSSL Heartbleed, si můžete přečíst zde (anglicky).

Heartbleed Patch

Pokud z kteréhokoliv důvodu nemůžete postupovat dle návodu vpravo a provést aktualizaci OpenSSL, můžete OpenSSL překompilovat s použitím konfigurace:

-DOPENSSL_NO_HEARTBEATS

Jak postupovat s Heartbleed?

Protože kvůli OpenSSL Heartbleed mohl být kompromitován privátní klíč, je nutné přegenerovat všechny SSL certifikáty na serveru.

  1. Ze všeho nejdříve si u všech serverů ověřte, zda je pro ně přegenerování nutné. Heartbleed se týká serverů s OpenSSL verze 1.0.1 až 1.0.1f. Verzi OpenSSL na serveru zjistíte příkazem

    $ openssl version

  2. Je-li server ohrožen Heartbleed, je nutné co nejdříve provést aktualizaci OpenSSL (nebo “zapatchovat”) na opravenou verzi 1.0.1g.

    Dokud server nezabezpečíte proti Heartbleed aktualizací OpenSSL, neřešte přegenerování SSL certifikátu! Pokud nainstalujete přegenerovaný certifikát na stejný zranitelný server, tak vlastně nic nevyřešíte.

  3. Jakmile server zabezpečíte, můžete SSL certifikáty přegenerovat v detailu certifikátu kliknutím na “Přegenerovat” 1).

    Je nutné vygenerovat nový pár privátního klíče a CSR. Pro generování nové CSR nepoužívejte původní privátní klíč!

    1) U certifikátů aktivovaných před 15.01.2014 není funkce pro přegenerování dostupná. Pro přegenerování těchto certifikátů zašlete nově vygenerované CSR na adresu info@ssls.cz. Máte-li takových SSL certifikátů více, uveďte u každé CSR příslušné SSLS ID certifikátu (zjistíte v detailu certifikátu).

SSL certifikát — 139 Kč

Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.

Zelený adresní řádek

Nepřehlédnutelný indikátor důvěryhodného webu, díky kterému zvýšíte konverze a zisky.

Multidoménové UC/SAN

Skonsolidujte všechny Vaše SSL certifikáty do jednoho multidoménového SSL certifikátu!

Uživatel SSL Přihlášení

Zavřít

Uživatel SSL Nový zákazník

Zavřít
Zavřít
Zavřít
Doporučené SSL certifikáty
Zavřít
Máte dotaz?
Napište nám
Nenašli jste odpověď na svůj dotaz na stránce Podpora a nejčastější dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
Tato stránka používá soubory cookies. více informací
Souhlasím