"Este servidor é vulnerável a um ataque Heartbleed. Atualize para a última versão do OpenSSL, substitua o certificado no seu servidor web ou aparelho, e redefina senhas do usuário final que podem estar visíveis em uma memória do servidor comprometida."
O Heartbleed Bug está na extensão da pulsação da biblioteca criptográfica OpenSSL. As bibliotecas criptográficas nas versões OpenSSL 1.0.1 até 1.0.1f e 1.0.2-beta1 são vulneráveis ao ataque Heartbleed Bug. A vulnerabilidade Heartbleed Bug é uma fraqueza na biblioteca criptográfica do OpenSSL, permitindo que um invasor ganhe acesso a informações sensíveis normalmente protegidas pelos protocolos SSL e TLS.
OpenSSL é um kit de ferramentas de código aberto que implementa os protocolos Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS), incluindo uma biblioteca criptográfica que emprega funções criptográficas e fornece diferentes funções de utilitário. A biblioteca criptográfica é comumente implementada por servidores na Internet para proteger grande parte do tráfego na Internet.
Um invasor pode usar o ataque Heartbleed Bug para ganhar acesso a:
Ao proteger o seu ambiente contra o Heartbleed Bug, será necessário corrigir o OpenSSL em servidores rodando versões vulneráveis do OpenSSL e software usando versões afetadas da biblioteca do OpenSSL.
Atualize para a última versão do OpenSSL (versão 1.0.1g ou posterior).
Pode ser necessário reiniciar o software após ele ser corrigido para assegurar a biblioteca do OpenSSL esteja redefinida e o Heartbleed Bug seja removido da memória em cache.
Se não conseguir atualizar para a última versão do OpenSSL:
Use o DigiCert para analisar novamente o seu ambiente para ter certeza de que você não está mais vulnerável ao ataque Heartbleed Bug.
Após instalar certificados reemitidos, é necessário revogar os certificados que foram substituídos. Para obter os seus certificados revogados, contate a sua Autoridade de Certificação.
Para clientes da DigiCert, envie e-mail para suporte em support@digicert.com. Certifique-se de incluir o número do pedido do seu certificado e uma breve descrição do que você deseja revogado.
Se os seus servidores aceitam senhas, você também deve fazer os seus clientes redefinirem as suas senhas, mas apenas após a correção dos servidores e software, e rechaveamento, re-emissão, instalação e revogação dos certificados.
Se os clientes redefinirem as suas senhas antes da correção dos servidores/software e o rechaveamento, re-emissão, instalação e revogação dos certificados, suas senhas ainda estarão expostas e será necessário redefini-las novamente.