行业动态

核心提示：互联网服务公司周六报告说，与之前的怀疑相反，黑客可以通过一个名为 . 就在昨天，一项初步调查被公布，称……

这家互联网服务公司周六报告说服务器运维外包，与之前的怀疑相反，黑客可以通过一个名为 .

就在昨天，初步调查结果公布，拿到重要密钥可能很难破译层。 确认该结论并发起挑战； 看到别人可能泄露的后果，该公司在服务器上设置了一个包含错误的nginx版本，并邀请网友窃取私钥。

九个小时后，芬兰国家网络安全中心的软件工程师（合同工）Fedor 和 Ilkka 拿到了服务器的私钥。 他们只会利用漏洞。 在撰写本文时，确定了前四位获奖者：mdash； 破折号； 剑桥大学安全组的鲁宾博士和安全研究员Ben Ben。

这个结果表明，仅针对不包含漏洞的漏洞更新服务器是不够的。 因为默认不显示在服务器日志中，所以易受攻击的站点不能排除私钥被内存黑客获取的可能性。 任何拥有私钥的人都可以用它来建立一个假冒的网站，这实际上是大多数用户无法识别的，任何访问这个假冒网站的互联网用户都会看到与该网站相同的 HTTPS 前缀和挂锁图标。

获得私人 SSL 证书可能意味着，为了谨慎起见，使用易受攻击版本的网站管理员应尽快撤销旧证书并用新证书替换它们，这一启示可能会导致问题，具体取决于受影响的网站数量。

坏消息是，在发现我们提出的变更“补发证书成为重要项目”后， ARS 的首席执行官在给 ARS 的电子邮件中写道，我们加快了更改证书的过程。

初步推测服务器运维外包，至少在所使用的基于 Linux 的平台上，服务器证书和私钥通常在启动后存储在内存中，并且由于服务器系统通常没有启动，所以有些可以通过内存访问（通常为 64KB）包含在服务器的私钥中。 钥匙。

窃取大量私钥是最糟糕的情况，因为它向虚假网站的制作者开放网站，并使听众能够破译表面上安全的通信。

最后，服务器发送了超过 250 万个请求。 同时发送他们可以窃取服务器的私钥，他们说他们在挑战开始后大约 6 小时重新启动了服务器。 该公司认为，重启可能会出现未初始化的存储密钥。

这种敏感信息是可以获取的，这很麻烦，不像当前的解决方案那样允许用户轻松更改密码。 ldquo;我们的这个发现是一个建议，每个人都应该用新的替换旧的私钥并取消旧的私钥，'在今天的更新中写道。 ldquo; 为了客户的利益，为我们的客户管理加速SSL密钥执行。

挑战获胜者 Fedor 在他的推特上写道，我估计大约有 650 万个 TLS/SSL 证书。 显然，并非每个拥有这些证书的网站都被使用，但它已成为一个大型清理项目，这非常令人担忧。

撤销和更换证书的过程是非常不方便和缓慢的，即使只有不到一半的互联网同时经历这个过程，ldquo;如果所有站点都撤销了他们的证书，这将造成巨大的负担并给性能带来影响互联网，成本，写在周五的博客中。 ldquo; 这种规模的取消和替换过程可能会破坏 CA（证书颁发机构）架构。

该公司表示，它已逐步开始为在其架构上运行的那些网站淘汰和更换 SSL 证书，预计将在下周某个时候完成。

{Ars 翻译}