Tarde Lunes, 07 de abril 2014 , un error se da a conocer en la implementación de OpenSSL de la extensión de los latidos del corazón TLS. Designación oficial del fallo es CVE- 2014-0160 , también ha sido apodado Heartbleed en referencia a la extensión de los latidos del corazón que afecta. La vulnerabilidad Heartbleed es algo OpenSSL, deben tomar muy en serio , ya que permite a un adversario para obtener datos de las porciones de la memoria del servidor web.
Mientras que el error Heartbleed no es un defecto con los certificados , contraseñas , o incluso el protocolo TLS en sí , la explotación del error puede conducir a las claves privadas comprometidas y otros datos sensibles . El error Heartbleed está presente en las versiones de OpenSSL 1.0.1 través 1.0.1f y 1.0.2 beta. Por extensión , el software de servidor como Apache , Tomcat , Nginx , utilizando versiones vulnerables de OpenSSL también están en riesgo .
¿Cómo sé si soy vulnerable?
Si está ejecutando una versión anterior de OpenSSL u otro software que no utiliza OpenSSL , el servidor no se ve afectada por el insecto Heartbleed .
Puede utilizar nuestro SSL Comprobador de configuración para probar el servidor de la vulnerabilidad Heartbleed .
Nota: A pesar de que el servidor puede no ser vulnerables , hay una alta probabilidad de que se conecte a sitios que fueron afectados directamente . Debido a esto , se recomienda encarecidamente que cambie sus contraseñas para los sitios y servicios que utiliza, una vez que sean revisados ​​para solucionar Heartbleed .
Mi servidor es vulnerable , ¿Qué hago ahora?
1 . Descargue Parches / Update OpenSSL
Si está ejecutando una versión autónoma de OpenSSL , actualice a la última versión 1.0.1g que ha sido parcheado para la vulnerabilidad Heartbleed .
Usted querrá instalar todos los parches y actualizaciones de productos específicos para esta vulnerabilidad. Esto puede incluir cambios a su distribución de GNU / Linux , o versiones de los dispositivos de hardware .
Una vez que haya actualizado sus bibliotecas OpenSSL y aplicado todos los parches a su plataforma / aparato que puede pasar a volver a emitir su certificado.
Si está utilizando un servicio de hosting , consulte con su proveedor para asegurarse de que han parcheado sus propios sistemas antes de continuar.
. 2 Generar nuevas claves , Reedición , e instalar el certificado:
El siguiente paso es volver a emitir su certificado con una nueva clave privada ya que el original puede haber sido comprometida.
Generar una nueva clave privada *
Generar una nueva CSR *
Vuelva a emitir el certificado mediante el nuevo CSR .
Instale el nuevo certificado.
Verifique el nuevo certificado está funcionando adecuadamente.
* Si utiliza la opción AutoCSR de GlobalSign , un par de claves únicas se generará de forma automática a la reedición .
Las instrucciones detalladas para volver a emitir el certificado se pueden encontrar en nuestro artículo relacionado :
https://support.globalsign.com/customer/es/portal/articles/1223116
Nota: Al volver a emitir , usted tendrá la opción de emitir con SHA1 o SHA256 . Usted puede leer más sobre SHA256 en nuestro anuncio y comprobar la compatibilidad aquí .
Asegúrese de elegir el certificado intermedio correcto para su tipo de producto y el algoritmo de hash.
3. Revocar el certificado original:
Reeditando generará una orden de ID uniqe ; una vez que su certificado ha sido reeditado con éxito , instalado y probado , puede revocar la orden del certificado original. Tenga en cuenta, sólo desea revocar una vez que haya vuelto a publicar con éxito su certificado como no se puede volver a emitir un certificado revocado .
Las instrucciones detalladas para la revocación de su certificado se pueden encontrar en nuestro artículo relacionado :
https://support.globalsign.com/customer/es/portal/articles/1251577 .
Avisos de seguridad y parches:
GNU / Linux Distribuciones:
Red Hat
CentOS
Fedora
Ubuntu
Debian
Arco
Software Serverside :
Apache CloudStack
Apache CouchDB
F5
mongoDB
NGINX
Productos Parallels
XAMPP
Hardware:
Cisco Productos
Check your certificate installation for SSL issues and vulnerabilities.