Týká se Heartbleed mého serveru?
Heartbleed se týká všech serverů s OpenSSL verzí:
- 1.0.1 až 1.0.1f (včetně)
- 1.0.2-beta a 1.0.2-beta1
Heartbleed se netýká serverů s OpenSSL:
- 1.0.1g — v této verzi již opraveno
- 0.9.8 a 1.0.0 (celé řady)
Pokud si nejste jisti, můžete Heartbleed zranitelnost ověřit zde.
Více o Heartbleed
Heartbleed je chyba knihovny OpenSSL způsobující velmi vážnou zranitelnost, která potenciálním útočníkům umožňuje pohodlně číst paměť systému.
Tato slabina dává komukoliv možnost zjistit privátní klíč a dešifrovat zabezpečenou komunikaci (SSL/TLS), zjistit kterákoliv citlivá data a odcizit osobní údaje (např. hesla).
Více o OpenSSL Heartbleed, si můžete přečíst zde (anglicky).
Heartbleed Patch
Pokud z kteréhokoliv důvodu nemůžete postupovat dle návodu vpravo a provést aktualizaci OpenSSL, můžete OpenSSL překompilovat s použitím konfigurace:
-DOPENSSL_NO_HEARTBEATS
Jak postupovat s Heartbleed?
Protože kvůli OpenSSL Heartbleed mohl být kompromitován privátní klíč, je nutné přegenerovat všechny SSL certifikáty na serveru.
-
Ze všeho nejdříve si u všech serverů ověřte, zda je pro ně přegenerování nutné. Heartbleed se týká serverů s OpenSSL verze 1.0.1 až 1.0.1f. Verzi OpenSSL na serveru zjistíte příkazem
$ openssl version
-
Je-li server ohrožen Heartbleed, je nutné co nejdříve provést aktualizaci OpenSSL (nebo “zapatchovat”) na opravenou verzi 1.0.1g.
Dokud server nezabezpečíte proti Heartbleed aktualizací OpenSSL, neřešte přegenerování SSL certifikátu! Pokud nainstalujete přegenerovaný certifikát na stejný zranitelný server, tak vlastně nic nevyřešíte.
-
Jakmile server zabezpečíte, můžete SSL certifikáty přegenerovat v detailu certifikátu kliknutím na “Přegenerovat” 1).
Je nutné vygenerovat nový pár privátního klíče a CSR. Pro generování nové CSR nepoužívejte původní privátní klíč!
1) U certifikátů aktivovaných před 15.01.2014 není funkce pro přegenerování dostupná. Pro přegenerování těchto certifikátů zašlete nově vygenerované CSR na adresu info@ssls.cz. Máte-li takových SSL certifikátů více, uveďte u každé CSR příslušné SSLS ID certifikátu (zjistíte v detailu certifikátu).