استفاده مجدد وب سایت ها از كلیدهای خصوصی آسیب پذیر به نقص Heartbleed
ایتنا-در حال حاضر 5 درصد از سایت ها با وجود صدور مجدد گواهینامه، به دلیل صدور گواهینامه با همان كلیدهای خصوصی قبلی آسیب پذیر می باشند.
از زمان كشف آسیب پذیری Heartbleed در OpenSSL، بیش از ۳۰۰۰۰ گواهینامه TLS/SSL لغو شده و مجددا با همان كلیدهای قبلی صادر شده است.
این گزارشات توسط Netcraft، پروژه ای كه در حال مطالعه سایت های TLS/SSL بر روی اینترنت می باشد، منتشر شده است.
به گزارش ایتنا از مرکز ماهر، نقص Heartbleed به مهاجم اجازه می دهد تا به كلیدهای خصوصی سرورهایی كه مبتنی بر OpenSSL هستند دسترسی یابند و با رمزگشایی داده ها به آن ها دسترسی یابند. در نتیجه این آسیب پذیری، می بایست گواهینامه های قدیمی سایت ها لغو شده و گواهینامه های جدید برای آن ها صادر شود.
با توجه به مطالعات Netcraft، برای ۴۳ درصد از سایت های آُسیب پذیر مجددا گواهینامه صادر شده است. اما گواهینامه ۷ درصد از این سایت ها با همان كلید خصوصی قدیمی صادر شده است.
تنها ۱۴ درصد از سایت ها توانسته اند تا گواهینامه های خود را با كلیدهای خصوصی جدید صادر كنند و بدین ترتیب توانسته اند تا جلوی حملات احتمالی را بگیرند.
در مجموع ۲۰ درصد گواهینامه های خود را لغو كرده اند و تعداد بسیار كمی از سایت ها پس از لغو، گواهینامه جدیدی را صادر نكرده اند. در نهایت، در حال حاضر ۵ درصد از سایت ها با وجود صدور مجدد گواهینامه، به دلیل صدور گواهینامه با همان كلیدهای خصوصی قبلی آسیب پذیر می باشند.