阅读时间: 3 分钟
针对流行的 OpenSSL 加密库中报告的漏洞,Comodo 敦促其客户、合作伙伴和所有 OpenSSL 用户应用最 最近的补丁更新 尽快地。 Comodo 将与客户、合作伙伴、平台供应商和服务提供商合作,以帮助确保受影响的各方在未来几天内充分了解该问题,并确保客户系统使用 OpenSSL 的固定版本进行更新。
尽管该漏洞与 Comodo 的证书和密钥没有直接关系,但使用受影响的 OpenSSL 版本生成的证书应该被撤销和替换。 Comodo 将确保客户在重新颁发证书后能够快速轻松地获得证书 修补 他们的 OpenSSL。
谁是弱势群体?
这个问题是 仅由 如果您已安装 OpenSSL 1.0.1 至 1.0.1f 和 OpenSSL 1.0.2-beta,则存在问题。 所有其他 SSL 实现和 数字证书 用户不受影响,包括 Microsoft IIS Web 服务器的所有用户。
如果不确定您是否受到影响,Comodo已更新其SSL分析工具供您检查。 只需在以下页面上输入您的地址:
https://sslanalyzer.comodoca.com/heartbleed.html.
注意:仅输入使用 SSL 的域。 如果这个站点很忙,你也可以使用 https://sslanalyzer.comodoca.com/
如果您容易受到攻击,Comodo将与您一起帮助确保使用固定版本的OpenSSL更新您的系统。 我们将协助您快速轻松地获得修补OpenSSL可能需要的证书重新发行。 致电+1 888-256-2608或电子邮件: Enterprisesolutions@comodo.com 与企业 SSL 专家交谈。
什么是漏洞?
OpenSSL中的漏洞可能允许远程攻击者通过TLS心跳扩展中的错误内存处理来公开敏感数据,其中可能包括用户身份验证凭据和秘密密钥。 此缺陷使远程攻击者可以一次以64k的块来使用易受攻击的OpenSSL库的应用程序的私有内存。
发现流血
一群来自Codenomicon的安全工程师和来自Google Security的Neel Mahta发现了Heartbleed错误。 7年2014月1.0.1日,他们向互联网社区宣布了流行的OpenSSL密码库中的漏洞。 该漏洞被恰当地标记为Heartbleed错误,影响OpenSSL版本1.0.1至XNUMXf(包括XNUMXf)。
重要的是要了解Heartbleed错误不是SSL或TLS协议中的缺陷。 而是在TLS / DTLS心跳功能的OpenSSL实现中存在缺陷。 该漏洞与公共信任的证书无关,也不是由公共信任的证书引入的,而是服务器软件的问题。
升级服务器
检查程序包管理器以获取更新的OpenSSL程序包并安装它。 如果您没有更新的OpenSSL软件包, CONTACT 您的服务提供商以获取最新版本的OpenSSL并进行安装。
解决方法
仅当无法升级到最新版本的OpenSSL时才使用这些解决方法。 如果无法升级到最新的OpenSSL版本,请执行以下一项操作:
- 回滚到OpenSSL 1.0.0或更早版本。
- 使用OPENSSL_NO_HEARTBEATS标志重新编译OpenSSL。
密钥更新,重新发行和吊销证书
首先,您需要通过创建新的密钥对和证书签名请求(CSR)来对证书进行密钥更新和重新发布。 要替换您的证书,请执行以下操作:
1.通过登录到您的帐户 https://secure.comodo.com
2.点击 SSL 证书
3.找到您要替换/重新颁发的证书,然后单击 更换
4.按照屏幕上的所有说明进行操作。
成功替换新证书后,您需要吊销旧证书。 为此,请像以前一样登录到您的帐户,然后点击“SSL 证书”,找到*旧*证书订单,然后单击“吊销”链接。
再次,不要犹豫联系 支持@comodo.com 如果您需要帮助。
