Неисправленные сайты и неправильно выпущенные сертификаты SSL имели возможность оставлять пользователей уязвимыми.Спустя месяц по окончании того, как уязвимость совокупности обеспечения безопасности Heartbleed OpenSSL была сперва публично раскрыта, существуют верные показатели, что существует все еще большое количество уязвимых пользователей.
Технически, недостаток Heartbleed идентифицируется как CVE-2014-0160 и привёл «к переполнению чтения сердцебиения TLS». Это сочтено в OpenSSL с открытым исходным кодом криптографической библиотекой, которая снабжает возможности шифрования Уровня защищенных сокетов (SSL) для данных в пути. OpenSSL проектируют, сперва выпустил его личный патч для недостатка Heartbleed 7 апреля, но это не означало, что все в мире практически обновили.OpenSSL обширно развертывается в серверах и встроенных устройствах включая телефоны на базе Android.
Для фактической защиты пользователей от Heartbleed существуют многократные шаги, каковые должны быть предприняты. И для серверов и для устройств конечного пользователя, должен быть установлен обновленный пакет OpenSSL. На серверной стороне должны быть регенерированы сертификаты SSL, и конечные пользователи должны поменять собственные пароли.Исследователь в области безопасности Роберт Грэм отметил в сообщении в блоге 8 мая, что отсканировал Интернет для нахождения совокупностей все еще уязвимыми для Heartbleed и отыскал 318 239 совокупностей все еще в опасности.
Это не целая история на риске Heartbleed все же. В дополнение к исправлению OpenSSL администраторы сервера кроме этого должны регенерировать сертификаты SSL. Но как это оказывается, не смотря на то, что большое количество сертификатов SSL были переизданы, они не были все переизданы верно.
Изучение от Netcraft, опубликованного 9 мая, показывает, что через все сайты отсканировало, каковые были затронуты Heartbleed, 43 процента переиздали собственные сертификаты SSL. Это указывает, что существует все еще большое количество сайтов с возможно уязвимыми пользователями.Добавление потом оскорбляет к ущербу, Netcraft отыскал, что 7 процентов переизданных сертификатов SSL были сделаны с тем же закрытым ключом.
Метод, которым трудится SSL, пребывает в том, что существует личный ключ шифрования на сервере, что употребляется для включения безопасности.«Опять применяя тот же закрытый ключ, сайт, что был затронут неточностью Heartbleed все еще, стоит совершенно верно перед теми же рисками как те, каковые еще не заменили их сертификаты SSL», заявил Неткрэфт. «В случае если прошлый сертификат поставился под угрозу, то похищенный закрытый ключ может все еще употребляться для выполнения роли нового сертификата SSL сайта, даже в том случае, если ветхий сертификат был отменен».
Так кроме того при том, что большое количество Веб-сайтов исправили для Heartbleed, не все переиздали сертификаты SSL, а также тогда существует все еще риск. Быть может, большей проблемой, но, есть факт, что Heartbleed есть проблемой безопасности спустя больше чем 30 дней по окончании того, дабы сперва быть раскрытым и, возможно, останется риском в течение многих месяцев, если не годы, для прибытия.
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.