新的数据证实黑客可以通过Heartbleed漏洞窃取私钥。
核心提示:互联网服务公司CloudFlare星期六报道说,与以往的怀疑,黑客可以从脆弱的网站通过一个大漏洞被称为Heartbleed得到私钥。就在昨天,CloudFlare发布初步调查,说…互联网服务公司CloudFlare星期六报道说,与以往的怀疑,黑客可以从脆弱的网站通过一个大漏洞被称为获得私钥,Heartbleed。
就在昨天,CloudFlare公布初步调查,它可能很难解密套接字层通过Heartbleed获取的重要关键。确认这个结论,CloudFlare发起Heartbleed挑战;看到别人可能泄漏造成的后果,公司已经建立了一个nginx的服务器上运行的OpenSSL包含一个Heartbleed bug的版本,和公司邀请网友窃取私钥。
九个小时后,Fedor Indutny和Ilkka Mattila,芬兰国家网络安全中心的软件工程师(合约雇员),得到服务器的私钥。他们只使用Heartbleed漏洞。写这篇文章时,首先确定的四个获奖者:mdash;mdash;剑桥大学安全组,鲁宾博士和Ben Ben,一位安全研究人员。
这一结果表明,它是不足以更新服务器只有不包含Heartbleed漏洞OpenSSL Heartbleed的攻击。因为默认是不在服务器日志显示,脆弱的网站不能排除私人密钥是由记忆黑客得到的可能性。一个私有密钥的任何人都可以使用它建立一个假冒的网站,这实际上是不被大多数用户认可,任何互联网用户谁访问这个假冒网站会看到相同的HTTPS前缀和挂锁图标的网站。
获取私有SSL证书可能意味着,为了谨慎起见,使用漏洞版本OpenSSL的网站管理员应该尽快撤销旧证书,并替换新证书,根据受影响站点的数量,这种启示可能会导致问题。
坏消息是,发现在我们的建议改变了‘更换证书并成为一个重要的项目,CloudFlare的首席执行官Matthew Prince写;ARS ARS的电子邮件,我们加速改变证书的过程。
CloudFlare的最初推测,至少在其使用的基于Linux的平台,服务器证书和私钥通常存储在刚开机后的内存,因为服务器系统通常不开始,一些可以通过Heartbleed内存访问(通常为64KB)包含在服务器的私钥。
大私钥的盗用是最糟糕的情况,因为它使网站向虚假网站的生产者开放,并使听者能够破解表面安全通信。
最终,Indutny发送超过二百五十万个请求的CloudFlare的服务器。Mattila发送100000在同一时间,他们可以窃取服务器的私钥,CloudFlare的说他们重启服务器在挑战开始后约6小时。该公司认为将重启可能会出现在未初始化的内存的关键。
这些敏感的信息可以得到,这是很麻烦的,不像现在的解决方案允许用户更改密码那么简单。Ldquo;我们的这一发现是建议每个人都应该用新的密钥替换旧私钥和取消旧的私钥,,Cloudflare在今天的更新中写道。Ldquo;为客户的利益,CloudFlare加速SSL密钥执行我们的客户管理。
Fedor Indutny,该Heartbleed挑战冠军,写在其推特,我估计大约650万的TLS / SSL证书。显然,并不是每一个网站,拥有这些证书已经使用OpenSSL Heartbleed,但已成为一个大型的清理项目,这是非常令人震惊的。
撤销和更换证书的过程非常不便,缓慢甚至如果少于一半的互联网正在进行的过程的同时,Ldquo;如果所有的网站都取消了证书,它会带来巨大的负担和互联网上带来的性能、成本,Cloudflare在星期五的博客写的。Ldquo;如此规模的取消和更换过程都可能破坏CA(证书授权)架构。
该公司表示,对于那些在CloudFlare的架构上运行的网站,公司已逐步开始过程废除和更换SSL证书,预计将在下周完成一些时间。
{通过Ars Technica翻译johnchu }