Tôi nên làm gì với lỗi Heartbleed cho các trang web tôi chạy?

Lỗi Heartbleed được công bố gần đây trong OpenSSL ảnh hưởng đến nhiều trang web (70% internet).

Có một trang web:

http://www.heartbleed.com

Có một bài kiểm tra dựa trên web:

http://filippo.io/Heartbleed/

Tôi nên làm gì để bảo vệ các trang web mà tôi chạy?

openssl heartbleed

— Matt Cruikshank
nguồn

Trả lời tốt hơn về Lỗi máy chủ - Heartbleed: Nó là gì và các tùy chọn để giảm thiểu nó là gì?

— Sathyajith Bhat

Cũng như StackExchange cho các chuyên gia bảo mật. Xem bảo mật.stackexchange.com/questions / 55076 và security.stackexchange.com/questions/tagged/lovebleed .

— JdeBP

Bây giờ mọi trang web liên quan đến máy tính SE lớn đều có câu hỏi này ... nấu ăn.stackexchange.com : D

— VL-80

Tôi đã thêm phiên bản người dùng cuối của câu hỏi này tại superuser.com/questions/739260/ (nhưng ai đó đã hạ cấp nó, mà không cần giải thích).

— danorton

@Nikolay, bây giờ tôi rất muốn hỏi nó về nấu ăn.

— Joe

Câu trả lời:

Bạn nên:

Cập nhật hệ thống của bạn lên phiên bản OpenSSL mới nhất
Tạo khóa và chứng chỉ mới cho các dịch vụ dựa trên OpenSSL và khởi động lại chúng
Thu hồi các chứng chỉ cũ
Vô hiệu hóa tất cả các phiên thành lập

— Executifs
nguồn

Tôi không cho rằng bạn biết một số hướng dẫn rõ ràng tốt đẹp cho ba bước cuối cùng, phải không?

— Paul D. Waite

Thu hồi và tái tạo chứng chỉ sản xuất thường liên quan đến bất kỳ quy trình nào mà CA của bạn có tại chỗ. Vì điều đó thay đổi từ một CA sang ...

— Roger Lipscombe

Làm thế nào để cập nhật hệ thống của bạn phụ thuộc vào người quản lý gói của bạn. Phiên vô hiệu là phụ thuộc vào ứng dụng. Đối với chứng chỉ, bạn sẽ phải liên hệ với CA của mình nhưng bước đầu tiên phải là tạo khóa mới và CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!

— Executifs

Bị đánh cắp từ một bình luận reddit.

Cập nhật hệ thống của bạn:

sudo apt-get update
sudo apt-get upgrade

Khởi động lại máy chủ
openssl version -a để đảm bảo bạn có phiên bản mới nhất !!

— Matt Cruikshank
nguồn

OP cung cấp!

— I am John Galt

@IamJohnGalt Không giống như nó là một khóa an toàn hoặc một cái gì đó. ;)

— Ƭᴇcʜιᴇ007

Đây là không phải đủ Các khóa SSL cần được thay thế, mà không làm điều đó một bản vá sẽ vẫn khiến bạn dễ bị đánh cắp khóa.

— Tyrsius

Điều này giả sử hệ thống của bạn sử dụng apt-get là người quản lý gói của bạn. Câu hỏi không cho thấy điều này nhất thiết phải là trường hợp.

— Michael

Cụ thể hơn cho Ubuntu hoặc Debian nói chung

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Tham chiếu http://www.ubfox.com/usn/usn-2165-1/

— rleir
nguồn