شماره: IRCNE2014052193
تاريخ:28/02/93
از زمان كشف آسيب پذيري Heartbleed در OpenSSL، بيش از 30000 گواهينامه TLS/SSL لغو شده و مجددا با همان كليدهاي قبلي صادر شده است.
اين گزارشات توسط Netcraft، پروژه اي كه در حال مطالعه سايت هاي TLS/SSL بر روي اينترنت مي باشد، منتشر شده است.
نقص Heartbleed به مهاجم اجازه مي دهد تا به كليدهاي خصوصي سرورهايي كه مبتني بر OpenSSL هستند دسترسي يابند و با رمزگشايي داده ها به آن ها دسترسي يابند. در نتيجه اين آسيب پذيري، مي بايست گواهينامه هاي قديمي سايت ها لغو شده و گواهينامه هاي جديد براي آن ها صادر شود.
با توجه به مطالعات Netcraft، براي 43 درصد از سايت هاي آُسيب پذير مجددا گواهينامه صادر شده است. اما گواهينامه 7 درصد از اين سايت ها با همان كليد خصوصي قديمي صادر شده است. تنها 14 درصد از سايت ها توانسته اند تا گواهينامه هاي خود را با كليدهاي خصوصي جديد صادر كنند و بدين ترتيب توانسته اند تا جلوي حملات احتمالي را بگيرند.
در مجموع 20 درصد گواهينامه هاي خود را لغو كرده اند و تعداد بسيار كمي از سايت ها پس از لغو، گواهينامه جديدي را صادر نكرده اند. در نهايت، در حال حاضر 5 درصد از سايت ها با وجود صدور مجدد گواهينامه، به دليل صدور گواهينامه با همان كليدهاي خصوصي قبلي آسيب پذير مي باشند.
- 4