Temps de lecture : 3 minutes
En réponse à une vulnérabilité signalée dans la populaire bibliothèque cryptographique OpenSSL, Comodo exhorte ses clients, partenaires et tous les utilisateurs d'OpenSSL à appliquer le plus mises à jour corrigées récentes Dès que possible. Comodo travaillera avec les clients, les partenaires, les fournisseurs de plates-formes et les fournisseurs de services pour s'assurer que les parties concernées sont pleinement informées du problème au cours des prochains jours et que les systèmes des clients sont mis à jour avec la version fixe d'OpenSSL.
Bien que la vulnérabilité ne soit pas directement liée aux certificats et clés de Comodo, les certificats générés à l'aide des versions concernées d'OpenSSL doivent être révoqués et remplacés. Comodo veillera à ce que les clients puissent acquérir rapidement et facilement une réémission de certificat après patcher leur OpenSSL.
Qui est vulnérable?
Ce problème est uniquement un problème si vous avez installé OpenSSL 1.0.1 à 1.0.1f et OpenSSL 1.0.2-beta. Tous les autres SSL implémentations et certificat numérique les utilisateurs ne sont pas concernés, y compris tous les utilisateurs du serveur Web IIS de Microsoft.
Si vous n'êtes pas sûr que vous soyez concerné, Comodo a mis à jour son outil d'analyse SSL pour que vous puissiez le vérifier. Entrez simplement votre adresse sur la page suivante:
https://sslanalyzer.comodoca.com/heartbleed.html.
Remarque: saisissez uniquement les domaines utilisant SSL. Si ce site est occupé, vous pouvez également utiliser https://sslanalyzer.comodoca.com/
Si vous êtes vulnérable, Comodo travaillera avec vous pour vous assurer que vos systèmes sont mis à jour avec la version fixe d'OpenSSL. Nous vous aiderons à acquérir rapidement et facilement une réémission de certificat qui pourrait être requise suite à la mise à jour d'OpenSSL. Appelez le +1-888-256 ou par e-mail: Enterprisesolutions@comodo.com pour parler à un expert SSL d'entreprise.
Quelle est la vulnérabilité?
Une vulnérabilité dans OpenSSL pourrait permettre à un attaquant distant d'exposer des données sensibles, y compris éventuellement des informations d'authentification utilisateur et des clés secrètes, via une gestion incorrecte de la mémoire dans l'extension de pulsation TLS. Cette faille permet à un attaquant distant de récupérer la mémoire privée d'une application qui utilise la bibliothèque OpenSSL vulnérable par blocs de 64 Ko à la fois.
Découverte de Heartbleed
Le bogue Heartbleed a été découvert par un groupe d'ingénieurs en sécurité de Codenomicon et Neel Mahta de Google Security. Le 7 avril 2014, ils ont annoncé la vulnérabilité de la populaire bibliothèque cryptographique OpenSSL à la communauté Internet. Correctement étiquetée comme le bogue Heartbleed, cette vulnérabilité affecte les versions d'OpenSSL 1.0.1 à 1.0.1f (incluses).
Il est important de comprendre que le bogue Heartbleed n'est pas une faille dans les protocoles SSL ou TLS; il s'agit plutôt d'une faille dans l'implémentation OpenSSL de la fonctionnalité Heartbeat TLS / DTLS. La faille n'est pas liée ou introduite par des certificats de confiance publique et est plutôt un problème avec le logiciel serveur.
Pour mettre à niveau votre serveur
Recherchez dans votre gestionnaire de packages un package OpenSSL mis à jour et installez-le. Si vous ne disposez pas d'un package OpenSSL mis à jour, contact votre fournisseur de services pour obtenir la dernière version d'OpenSSL et l'installer.
Solutions de contournement
N'utilisez ces solutions de contournement que si vous ne pouvez pas mettre à niveau vers la dernière version d'OpenSSL. Si vous ne parvenez pas à mettre à niveau vers la dernière version d'OpenSSL, effectuez l'une des opérations suivantes:
- Revenir à OpenSSL version 1.0.0 ou antérieure.
- Recompilez OpenSSL avec l'indicateur OPENSSL_NO_HEARTBEATS.
Pour renouveler, réémettre et révoquer vos certificats
Tout d'abord, vous devez renouveler la clé et réémettre vos certificats, ce que vous faites en créant une nouvelle paire de clés et une demande de signature de certificat (CSR). Pour remplacer votre certificat, procédez comme suit:
1. Connectez-vous à votre compte via https://secure.comodo.com
2. Cliquez sur illimité
3. Recherchez le certificat que vous souhaitez remplacer / réémettre et cliquez sur remplacer
4. Suivez toutes les instructions à l'écran.
Une fois que vous avez remplacé votre nouveau certificat avec succès, vous devez révoquer l'ancien. Pour ce faire, connectez-vous à votre compte comme précédemment, cliquez sur 'SSL certificat ', recherchez le *et les sites anciens* commande de certificat et cliquez sur le lien «Révoquer».
Encore une fois, n'hésitez pas à contacter support@comodo.com si vous avez besoin d'aide pour cela.
COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE
- blockchain
- cognitif
- Nouvelles de Comodo
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- CyberSécurité Comodo
- département de la Sécurité intérieure
- portefeuilles numériques
- e-commerce
- pare-feu
- sécurité informatique
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
- zéphyrnet
