Назад | Перейти на главную страницу

Был ли мой сервер уязвим для Heartbleed, если TLS был отключен?

Был ли мой сервер уязвим для сердечного приступа, если ранее TLS был отключен?

В конфигурации apache vhost параметр sslCipherSuite содержит только SSLv2 afaik, который не содержит TLS.

Нет, вы не уязвимы для сердечного кровотечения, НО, как так ясно и ясно указал Микаэль Хэмптон, в этом случае сердечное кровотечение - меньшая из ваших проблем. Я предполагаю, что ваш сайт не особо заботится о безопасности, иначе от SSLv2 отказались бы много лет назад. Чтобы сделать сайт более безопасным, предлагается протестировать с помощью SSLLabs (Qualys) и исправить обнаруженные таким образом проблемы. https://www.ssllabs.com/ssltest/ Также, если в конфигурации apache указано «SSv2», возможно, ваш системный администратор не установил для сервера обновления безопасности. Это скачок, но мне он не кажется надуманным, поскольку в конфигурации apache есть «SSLv2» - за него могут отвечать два разных набора инженеров, но лучше перепроверить и подтвердить. Кроме того, TLS основан на SSL, есть много текстов, в которых подробно рассказывается. Вики-страница "TLS" - хорошее начало. Кроме того, при включенном sslv2 было бы безопасно повторно ввести ключ сертификата. Не уверен, что уязвимости, связанные с более слабыми наборами шифров - отличительная черта SSLv2 - могли скомпрометировать ключевой материал. Было бы неплохо отозвать и заменить сертификат.