Nå er det blitt kjent at OpenSSL standarden som brukes av 2/3-deler av alle nettsteder som har et sikkerhetssertifikat (SSL-sertifikat) har hatt et kjent sikkerhetshull i 2 år.
Sikkerhetshullet gjør at alle hackere som kjenner sårbarheten kan lese minnet til alle datamaskiner som er beskyttet av OpenSSL standarden (gjelder både SSL- og TLS-protokollen).
Sårbarheten gjør at alle kan få tilgang til de hemmelige nøklene som brukes til både å identifisere tjenesteleverandører og til å kryptere trafikken. Dette gjør angripere kan avlytte alle data som sendes mellom tjenester og brukere. I tillegg til at den skal være relativt enkel å utnytte, skal det ikke være mulig å oppdage om noen har utnyttet den.
Benytter jeg «OpenSSL»?
Er du usikker på om ditt nettsted eller e-posttjeneste benytter OpenSSL for å kryptere brukernavn, passord og annen sensitiv informasjon som distribueres over Internett? I så fall er du ikke alene.
For å sjekke om du benytter et SSL-sertifikat på dine nettsider kan du gå til nettsiden du lurer på. Sjekk URL-en til siden. Hvis adressen starter med https:// og ikke bare http://. så benytter siden et SSL-sertifikat.
Les også:
- Hva er SSL/TLS, og hvorfor trenger jeg et SSL sertifikat?
- Hvilke typer SSL-sertifikater finnes, og hvilket bør jeg velge?
Den vanligste SSL-standarden er idag open-source plattformen OpenSSL som benyttes av over 2/3-del av alle SSL-brukere i verden. Benytter du SSL er det dermed store sjanser for at siden er beskyttet av OpenSSL standarden.
OpenSSL følger med mange Linux- og BSD-distribusjoner. Biblioteket benyttes av utbredte webservere som nginx og Apache HTTP Server, men også av en rekke e-postservere, lynmeldingstjenester, VPS-nettverk, rutere og annet nettverksutstyr, samt mye klientprogramvare.
Går under kodenavnet «Heartbleed»
Sårbarheten (CVE-2014-0160) går under navnet «Heartbleed», og finnes i heartbeat-utvidelsen av OpenSSL. Den ble innført i versjon 1.0.1 som ble utgitt i mars 2012, men også betautgaven av 1.0.2 skal være sårbar. Sårbarheten skal altså ha eksistert i mer enn to år.
OpenSSL har laget en sikkerhetsoppdatering
OpenSSL-prosjektet har kommet med sikkerhetsoppdateringer til begge versjoner, men så langt er det bare de Linux baserte operativsystemene Red Hat og Ubuntu som har kommet med sikkerhetsoppdateringer til sine brukere av OpenSSL standarden.
Dette er sikkerhetsoppdateringer som må installeres på servernivå. Benytter du en shared server, f.eks. et webhotell hos en hosting leverandør, må hosting leverandøren oppdatere sine servere med denne sikkerhetsoppdateringen.
Krever at alle skaffer seg nye SSL-sertifikat
Fordi sikkerhetsnøklene kan ha blitt kompromittert, er det ikke tilstrekkelig å installere oppdateringen. Samtlige nøkler må kalles tilbake og erstattes med nye nøkler. Dette må gjøres av leverandørene av tjenestene (det vil si din SSL-leverandør).