核心提示：互聯(lián)網(wǎng)服務(wù)公司周六報(bào)告說，與之前的懷疑相反，黑客可以通過一個名為 . 就在昨天，一項(xiàng)初步調(diào)查被公布，稱……

這家互聯(lián)網(wǎng)服務(wù)公司周六報(bào)告說服務(wù)器運(yùn)維外包，與之前的懷疑相反，黑客可以通過一個名為 .

就在昨天，初步調(diào)查結(jié)果公布，拿到重要密鑰可能很難破譯層。 確認(rèn)該結(jié)論并發(fā)起挑戰(zhàn)； 看到別人可能泄露的后果，該公司在服務(wù)器上設(shè)置了一個包含錯誤的nginx版本，并邀請網(wǎng)友竊取私鑰。

九個小時后，芬蘭國家網(wǎng)絡(luò)安全中心的軟件工程師（合同工）Fedor 和 Ilkka 拿到了服務(wù)器的私鑰。 他們只會利用漏洞。 在撰寫本文時，確定了前四位獲獎?wù)撸簃dash； 破折號； 劍橋大學(xué)安全組的魯賓博士和安全研究員Ben Ben。

這個結(jié)果表明，僅針對不包含漏洞的漏洞更新服務(wù)器是不夠的。 因?yàn)槟J(rèn)不顯示在服務(wù)器日志中，所以易受攻擊的站點(diǎn)不能排除私鑰被內(nèi)存黑客獲取的可能性。 任何擁有私鑰的人都可以用它來建立一個假冒的網(wǎng)站，這實(shí)際上是大多數(shù)用戶無法識別的，任何訪問這個假冒網(wǎng)站的互聯(lián)網(wǎng)用戶都會看到與該網(wǎng)站相同的 HTTPS 前綴和掛鎖圖標(biāo)。

獲得私人 SSL 證書可能意味著，為了謹(jǐn)慎起見，使用易受攻擊版本的網(wǎng)站管理員應(yīng)盡快撤銷舊證書并用新證書替換它們，這一啟示可能會導(dǎo)致問題，具體取決于受影響的網(wǎng)站數(shù)量。

壞消息是，在發(fā)現(xiàn)我們提出的變更“補(bǔ)發(fā)證書成為重要項(xiàng)目”后， ARS 的首席執(zhí)行官在給 ARS 的電子郵件中寫道，我們加快了更改證書的過程。

初步推測服務(wù)器運(yùn)維外包，至少在所使用的基于 Linux 的平臺上，服務(wù)器證書和私鑰通常在啟動后存儲在內(nèi)存中，并且由于服務(wù)器系統(tǒng)通常沒有啟動，所以有些可以通過內(nèi)存訪問（通常為 64KB）包含在服務(wù)器的私鑰中。 鑰匙。

竊取大量私鑰是最糟糕的情況，因?yàn)樗蛱摷倬W(wǎng)站的制作者開放網(wǎng)站，并使聽眾能夠破譯表面上安全的通信。

最后，服務(wù)器發(fā)送了超過 250 萬個請求。 同時發(fā)送他們可以竊取服務(wù)器的私鑰，他們說他們在挑戰(zhàn)開始后大約 6 小時重新啟動了服務(wù)器。 該公司認(rèn)為，重啟可能會出現(xiàn)未初始化的存儲密鑰。

這種敏感信息是可以獲取的，這很麻煩，不像當(dāng)前的解決方案那樣允許用戶輕松更改密碼。 ldquo;我們的這個發(fā)現(xiàn)是一個建議，每個人都應(yīng)該用新的替換舊的私鑰并取消舊的私鑰，'在今天的更新中寫道。 ldquo; 為了客戶的利益，為我們的客戶管理加速SSL密鑰執(zhí)行。

挑戰(zhàn)獲勝者 Fedor 在他的推特上寫道，我估計(jì)大約有 650 萬個 TLS/SSL 證書。 顯然，并非每個擁有這些證書的網(wǎng)站都被使用，但它已成為一個大型清理項(xiàng)目，這非常令人擔(dān)憂。

撤銷和更換證書的過程是非常不方便和緩慢的，即使只有不到一半的互聯(lián)網(wǎng)同時經(jīng)歷這個過程，ldquo;如果所有站點(diǎn)都撤銷了他們的證書，這將造成巨大的負(fù)擔(dān)并給性能帶來影響互聯(lián)網(wǎng)，成本，寫在周五的博客中。 ldquo; 這種規(guī)模的取消和替換過程可能會破壞 CA（證書頒發(fā)機(jī)構(gòu)）架構(gòu)。

該公司表示，它已逐步開始為在其架構(gòu)上運(yùn)行的那些網(wǎng)站淘汰和更換 SSL 證書，預(yù)計(jì)將在下周某個時候完成。

{Ars 翻譯}