对于我运行的网站,如何处理Heartbleed错误?

9

最近发布的OpenSSL Heartbleed错误影响了许多站点(互联网的70%)。

有一个网站:

http://www.heartbleed.com

有一个基于网络的测试:

http://filippo.io/Heartbleed/

我应该怎么做才能保护我运行的网站?

openssl  heartbleed 
马特·克鲁克香克(Matt Cruikshank)
source
6
Sathyajith Bhat
5
…以及适用于安全专业人员的StackExchange。请参阅security.stackexchange.com/questions/55076security.stackexchange.com/questions/tagged/heartbleed
JdeBP 2014年
4
每个主要的SE计算机相关站点现在都存在此问题...可能很快就会有人询问它,甚至在Cooking.stackexchange.com上:D
VL-80
我已经在superuser.com/questions/739260/…上添加了此问题的最终用户版本(但有人已经对其进行了投票,没有任何解释)。
danorton 2014年
1
@Nikolay,现在我很想在Cooking.se上问它

Answers:

7

你应该:

  • 将您的系统更新到最新的OpenSSL版本
  • 为依赖OpenSSL的服务生成新的密钥和证书,然后重新启动它们
  • 撤销以前的证书
  • 使所有已建立的会话无效
执行力
source
我想您不知道最后三个步骤的一些清晰明了的指示,对吗?
Paul D. Waite 2014年
吊销和重新生成生产证书通常涉及CA已执行的任何过程。由于从一个CA到另一个CA,各不相同...
Roger Lipscombe 2014年
如何更新系统取决于软件包管理器。使会话无效取决于应用程序。至于证书,您必须联系您的CA,但是第一步应该是生成新的密钥和CSR :openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr
执行
4

从reddit评论中被盗。

  1. 更新系统:

    sudo apt-get update
sudo apt-get upgrade

  2. 重新启动服务器

  3. openssl version -a 确保您拥有最新版本!

马特·克鲁克香克(Matt Cruikshank)
source
OP提供了!
我是John Galt,2014年
1
@IamJohnGalt好像不是锁着的保险箱之类的东西。;)
Ƭᴇcʜιᴇ0072014年
14
不够。需要更换SSL密钥,而无需这样做,补丁程序仍会使您容易遭受过去的密钥盗窃。
Kyeotic
假设您的系统apt-get用作包管理器。这个问题并不表明确实是这种情况。
迈克尔
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.