Heartbleed — уязвимость в OpenSSL

Heartbleed — ошибка в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Иными словами, данная уязвимость позволяет третьей стороне перехватывать зашифрованную с помощью SSL/TLS протокола информацию.

Более детальную информацию касательно данной уязвимости вы можете найти на следующих ресурсах:

http://www.computerra.ru/98046/heartbleed-simple/

http://heartbleed.com/

Важно понимать, что уязвимы лишь некоторые версии библиотеки OpenSSL, а именно: OpenSSL 1.0.1 — 1.0.1f, 1.0.2-beta1.

Как мы устранили проблему на SSL.com.ua

Компания SSL.com.ua произвела все необходимые обновления на сервере, где использовалась уязвимая версия OpenSSL.

Мы также обновили и переустановили все использующиеся на сайте SSL-сертфикаты.

Важно понимать:

  1. Уязвимость затронула только определенные версии OpenSSL.
  2. Уязвимость не связана с предоставляемыми нами SSL-сертификатами. Сертификаты по-прежнему надежно защищают данные.

Наши рекомендации клиентам SSL.com.ua

  1. Проверьте, используется ли уязвимая версия OpenSSL на вашем сервере (серверах). Вы также можете воспользоваться инструментом https://filippo.io/Heartbleed/
    Если да, то переходите к пункту 2.
  2. Обновите версию OpenSSL (до 1.0.1g). В случае, если невозможно обновить систему самостоятельно, рекомендуем обратится к хостинг-провайдеру для решения этого вопроса.
  3. Произведите перевыпуск SSL сертификата (Reissue). О том, как это сделать, читайте здесь: https://ssl.com.ua/clients/knowledgebase.php?action=displayarticle&id=46
    Перевыпуск сертификатов осуществляется бесплатно.
  4. Установите новый сертификат на сервере и проверьте работоспособность.
  5. Отзовите старый SSL сертификат. Инструкция по тому как это сделать находится здесь: https://ssl.com.ua/faq/ssl-certificate-reissue.html
    Важно: Старый сертификат можно отзывать только после того, как вы переустановили и проверили работоспособность нового сертификата.
  6. В случае необходимости, попросите своих клиентов обновить детали доступа на ваш ресурс.

Нужен SSL-сертификат с поддоменами? Смотрите наши предложения от центров сертификации Comodo и GeoTrust.