核心提示：互聯(lián)網(wǎng)服務(wù)公司周六報(bào)告說(shuō)，與之前的懷疑相反，黑客可以通過(guò)一個(gè)名為 . 就在昨天，一項(xiàng)初步調(diào)查被公布，稱(chēng)……

這家互聯(lián)網(wǎng)服務(wù)公司周六報(bào)告說(shuō)服務(wù)器運(yùn)維外包，與之前的懷疑相反，黑客可以通過(guò)一個(gè)名為 .

就在昨天，初步調(diào)查結(jié)果公布，拿到重要密鑰可能很難破譯層。 確認(rèn)該結(jié)論并發(fā)起挑戰(zhàn)； 看到別人可能泄露的后果，該公司在服務(wù)器上設(shè)置了一個(gè)包含錯(cuò)誤的nginx版本，并邀請(qǐng)網(wǎng)友竊取私鑰。

九個(gè)小時(shí)后，芬蘭國(guó)家網(wǎng)絡(luò)安全中心的軟件工程師（合同工）Fedor 和 Ilkka 拿到了服務(wù)器的私鑰。 他們只會(huì)利用漏洞。 在撰寫(xiě)本文時(shí)，確定了前四位獲獎(jiǎng)?wù)撸簃dash； 破折號(hào)； 劍橋大學(xué)安全組的魯賓博士和安全研究員Ben Ben。

這個(gè)結(jié)果表明，僅針對(duì)不包含漏洞的漏洞更新服務(wù)器是不夠的。 因?yàn)槟J(rèn)不顯示在服務(wù)器日志中，所以易受攻擊的站點(diǎn)不能排除私鑰被內(nèi)存黑客獲取的可能性。 任何擁有私鑰的人都可以用它來(lái)建立一個(gè)假冒的網(wǎng)站，這實(shí)際上是大多數(shù)用戶(hù)無(wú)法識(shí)別的，任何訪問(wèn)這個(gè)假冒網(wǎng)站的互聯(lián)網(wǎng)用戶(hù)都會(huì)看到與該網(wǎng)站相同的 HTTPS 前綴和掛鎖圖標(biāo)。

獲得私人 SSL 證書(shū)可能意味著，為了謹(jǐn)慎起見(jiàn)，使用易受攻擊版本的網(wǎng)站管理員應(yīng)盡快撤銷(xiāo)舊證書(shū)并用新證書(shū)替換它們，這一啟示可能會(huì)導(dǎo)致問(wèn)題，具體取決于受影響的網(wǎng)站數(shù)量。

壞消息是，在發(fā)現(xiàn)我們提出的變更“補(bǔ)發(fā)證書(shū)成為重要項(xiàng)目”后， ARS 的首席執(zhí)行官在給 ARS 的電子郵件中寫(xiě)道，我們加快了更改證書(shū)的過(guò)程。

初步推測(cè)服務(wù)器運(yùn)維外包，至少在所使用的基于 Linux 的平臺(tái)上，服務(wù)器證書(shū)和私鑰通常在啟動(dòng)后存儲(chǔ)在內(nèi)存中，并且由于服務(wù)器系統(tǒng)通常沒(méi)有啟動(dòng)，所以有些可以通過(guò)內(nèi)存訪問(wèn)（通常為 64KB）包含在服務(wù)器的私鑰中。 鑰匙。

竊取大量私鑰是最糟糕的情況，因?yàn)樗蛱摷倬W(wǎng)站的制作者開(kāi)放網(wǎng)站，并使聽(tīng)眾能夠破譯表面上安全的通信。

最后，服務(wù)器發(fā)送了超過(guò) 250 萬(wàn)個(gè)請(qǐng)求。 同時(shí)發(fā)送他們可以竊取服務(wù)器的私鑰，他們說(shuō)他們?cè)谔魬?zhàn)開(kāi)始后大約 6 小時(shí)重新啟動(dòng)了服務(wù)器。 該公司認(rèn)為，重啟可能會(huì)出現(xiàn)未初始化的存儲(chǔ)密鑰。

這種敏感信息是可以獲取的，這很麻煩，不像當(dāng)前的解決方案那樣允許用戶(hù)輕松更改密碼。 ldquo;我們的這個(gè)發(fā)現(xiàn)是一個(gè)建議，每個(gè)人都應(yīng)該用新的替換舊的私鑰并取消舊的私鑰，'在今天的更新中寫(xiě)道。 ldquo; 為了客戶(hù)的利益，為我們的客戶(hù)管理加速SSL密鑰執(zhí)行。

挑戰(zhàn)獲勝者 Fedor 在他的推特上寫(xiě)道，我估計(jì)大約有 650 萬(wàn)個(gè) TLS/SSL 證書(shū)。 顯然，并非每個(gè)擁有這些證書(shū)的網(wǎng)站都被使用，但它已成為一個(gè)大型清理項(xiàng)目，這非常令人擔(dān)憂(yōu)。

撤銷(xiāo)和更換證書(shū)的過(guò)程是非常不方便和緩慢的，即使只有不到一半的互聯(lián)網(wǎng)同時(shí)經(jīng)歷這個(gè)過(guò)程，ldquo;如果所有站點(diǎn)都撤銷(xiāo)了他們的證書(shū)，這將造成巨大的負(fù)擔(dān)并給性能帶來(lái)影響互聯(lián)網(wǎng)，成本，寫(xiě)在周五的博客中。 ldquo; 這種規(guī)模的取消和替換過(guò)程可能會(huì)破壞 CA（證書(shū)頒發(fā)機(jī)構(gòu)）架構(gòu)。

該公司表示，它已逐步開(kāi)始為在其架構(gòu)上運(yùn)行的那些網(wǎng)站淘汰和更換 SSL 證書(shū)，預(yù)計(jì)將在下周某個(gè)時(shí)候完成。

{Ars 翻譯}