成千上万的新的数字证书数万已被魔岛的“心脏出血漏洞”的安全漏洞,这已经把互联网用户的数据带来风险发生后发出的。
其中一个位于新泽西州的Comodo的主要业务是发放数字证书用户和Web服务,保护用户免受第三方从事间谍活动的关键盾之间的通信进行加密。
 |
|
 |
两个原因心脏出血漏洞并没有真正改变什么 |
|
心脏出血漏洞(CVE-2014-0160):这个问题的概述,并修复它所需的资源 |
|
下面是与心脏出血漏洞,有缺陷的网络设备的选项(提示:没有很多) |
|
你需要了解心脏出血漏洞和OpenSSL什么 |
|
心脏出血漏洞后果 - 下一步是什么? |
|
服务器制造商冲出心脏出血漏洞补丁 |
|
|
|
在过去的一天左右,科摩多已经看到了从网站经营者新的数字证书请求了巨大的上扬,罗宾·奥尔登,Comodo的首席技术官说。
“过去几天,我们已经看到在正常率比一周前更换了10到12倍之间的某处运行的替代率,”奥尔登说。“这显然从这个后果。”
尖峰亮起的所谓周一披露后Heartbleed在开源软件包的脆弱性,OpenSSL的,广泛用于操作系统,路由器和网络设备。
据信,该漏洞在某些情况下可能允许攻击者攻击获得私钥对于SSL(安全套接字层)证书。与私有密钥,攻击者可以创建一个假的网站与经过一个浏览器的挂锁显示的验证测试的SSL证书。
该漏洞也可以被攻击者用于从Web服务器拉64K块的敏感数据,包括从谁最近使用的服务的用户登录信息。
Netcraft公司,总部位于英国的公司,专门从事对Web服务器的安全性和收集统计,写在周二的OpenSSL的安全漏洞影响到多达50万使用受信任的证书颁发机构颁发的数字证书的网站。
周四,联邦金融机构考试委员会警告金融机构应该考虑修补心脏出血漏洞错误后更换自己的数字证书。
目前尚不清楚网络犯罪分子或政府支持的黑客是否在该漏洞于周一公开发布之前利用了它,因为据信这些攻击没有在服务器日志中留下痕迹。
科摩多,这背后是赛门铁克VeriSign公司部门SSL证书的第二大发行商,已与客户联系并进行使用其证书,以试图找到脆弱的网站,自动扫描,奥尔登说。
“我们将继续寻找受影响的服务器和检测服务器是否能够被利用,”奥尔登说。
关于谁取代了他们的数字证书已撤消旧Comodo的70%的客户,奥尔登说。在使用一个通常会显示警告跨网站来的证书不再有效被列入黑名单和浏览器。
受影响网站的下一步是易受攻击的发布密码重置用户,因为密码可能已经泄露,奥尔登说。但问题的,由于广泛使用OpenSSL的广阔范围意味着修复过程可能是漫长的。
“这是在此事件中的生活相当早,”奥尔登说。“还有的将是来自这个东西来更后果。随着时间的推移,我想很多用户将不得不更改他们的密码。”
发送新闻线索和意见jeremy_kirk@idg.com。按照我的Twitter:@jeremy_kirk