鉴于‘Heartbleed’漏洞科摩多建议客户和合作伙伴安装系统补丁以运行最新版本的OpenSSL

2014/04/11

该漏洞是OpenSSL实现的缺陷,而不是科摩多证书或科摩多的CA密钥导致的。科摩多提供免费更换任何受影响系统的证书,该证书会即时生效。

克利夫顿,新泽西州 ,2014年4月9日- 鉴于近期被发现的‘Heartbleed’漏洞,科摩多CA,一家领先的证书颁发机构和互联网安全机构,奉劝客户安装最新版本的OpenSSL补丁,并确认该漏洞是在于OpenSSL软件,而不是由科摩多证书或科摩多CA密钥导致的。科摩多将与客户,合作伙伴,平台供应赏和服务提供商合作,一同确保受影响的各个方面完全清楚这个问题、让用户的系统得到更新固定版本的OpenSSL, 并确保客户可以迅速容易获得重新颁发的证书。

什么是‘Heartbleed’漏洞?

于2014年4月8日(星期二),一组研究人员公开了OpenSSL严重漏洞的问题,这漏洞称为’Heartbleed’。

该‘Heartbleed’漏洞意味着一群攻击者可能在受影响的OpenSSL版本中默默的‘偷走’了SSL证书的私钥,以及其他的隐私信息。

OpenSSL是一个非常受欢迎的加密软件哭,并提供SSL/TLS通信给大量的应用程序。造成该漏洞的bug是在2011年12月首次引入OpenSSL库中, 自2012年3月14日正式发布OpenSSL1.0.1后,含有漏洞的版本库就处于‘野生状态’。然而,在前几天才被发现,除了概念的证明,此时此刻,科摩多是不知道任何真实世界的攻击。

想要更加深入了解这个漏洞,包括所有的技术上细节,都可以在这里找到:heartbleed.com

被影响的版本有:

OpenSSL 1.0.1 – OpenSSL 1.0.1f

不受影响的版本有:

1.0.1g

1.0.0 (及1.0.0的分支版本)

0.9.8 (及1.0.0的分支版本)

2014年4月7日发布的OpenSSL1.1.1g修正了这个bug.

我该如何解决?

任何使用受攻击版本的OpenSSL需要进行修补或更新。OpenSSL本身也发布了补丁,而其他软件供应商也陆续的更新他们的软件。请联系您的供应商以了解更多。

在安装证书之前修补您的服务器。如果将新的证书安装在有漏洞的服务器,那么就等于您损害新证书的密钥。

我的网站受到影响吗?

客户可以访问https://sslanalyzer.comodoca.com/来测试他们是否受到影响。

我的证书受到影响吗?

由于有理论上的可能性,Heartbleed可能已经被利用,科摩多必须更换那些运行在受影响版本OpenSSL系统上的证书。在受影响系统上的证书必须尽早替换,而之前的证书就必须撤消。

科摩多确保所有使用OpenSSL的本身网站已经被补修和更新,我们也对那些受影响的网站重新颁发了证书作为预防措施。

科摩多不像其他的CA,我们没有额外征收重新颁发证书的费用。所以,更换您的证书和维护您的网站和系统是如此的简单,没有任何的额外费用。

如果您需要重新颁发您的证书,请按正常程序-通过我们网上的界面、管理门户或API。

如果您需要任何其他的帮助,请联系support@comodo.com或提交您的疑问https://support.comodo.com/

参考文献:

http://heartbleed.com/

https://www.openssl.org/news/secadv_20140407.txt

Write a comment

Name
Comment