安全協議並不安全 OpenSSL出現重大安全漏洞

2014年4月8日，微軟宣稱將再也不爲Windows XP提供技術支持，當大多數人在憂慮如何保護我的電腦安全時，OpenSSL卻爆出本年度最嚴重的安全漏洞！不管用戶電腦多麼安全，只要登錄的網站使用了存在漏洞的OpenSSL版本，就可能被黑客實時監控到登陸帳號和密碼。

OpenSSL是什麼？

SSL（安全套接層）協議是使用最爲廣泛的網站加密技術，URL 中使用 https 打頭的鏈接都採用了 SSL 加密技術。OpenSSL 則是開源的 SSL 套件，是爲網絡通訊提供安全及數據完整性的一種安全協議，它經過一種開放源代碼的SSL協議，實現網絡通訊的高強度加密。

這也就是說，OpenSSL的存在，就是一個多用途的、跨平臺的安全工具，因爲它很是安全，因此被普遍地用於各類網絡應用程序中。Lifehacker指出，全球大約66%的網絡使用OpenSSL加密數據。

Heartbleed，當前互聯網最危險的漏洞

DNSPod安全專家表示，Heartbleed 漏洞之因此得名，是由於用於安全傳輸層協議（TLS）及數據包傳輸層安全協議（DTLS）的 Heartbeat 擴展存在漏洞。該漏洞發生在OpenSSL對TLS的心跳擴展（RFC6520）的實現代碼中，因爲遺漏了一處邊界檢查，使攻擊者無需任何特權信息或身份驗證，就可以從內存中讀取請求存儲位置以外的多達64 KB的數據，可能包含證書私鑰、用戶名與密碼、聊天消息、電子郵件以及重要的商業文檔和通訊等數據。

利用Heartbleed漏洞，黑客坐在本身家裏電腦前，就能夠實時獲取到不少以https開頭網址的用戶登陸帳號密碼，雖然目前此漏洞影響多少網站咱們並不能給出準確數字，可是咱們常常訪問的支付寶、淘寶、微信公衆號、YY語音、陌陌、雅虎郵件、網銀、門戶等各類網站，基本上都被爆出了問題。而在國外，受到波及的網站也數不勝數，就連大名鼎鼎的NASA（美國航空）也在其中。

如何應對Heartbleed漏洞帶來的危害？

因爲本次Heartbleed漏洞目前已經影響波及大量互聯網公司。操做系統公司正在向他們的客戶提供OpenSSL補丁。到目前爲止,固定Linux操做系統包括:CentOS，Debian，Fedora，Red Hat，openSUS，Ubuntu，SUSE Linux Enterprise Server(SLES)沒有影響。

使用OpenSSL的用戶能夠升級到最新版本OpenSSL 1.0.1g修復該漏洞，沒法當即升級的用戶能夠以-DOPENSSL_NO_HEARTBEATS開關從新編譯OpenSSL，1.0.2-beta版本的漏洞將在beta2版本修復。

用戶網上交易以前，可經過http://filippo.io/Heartbleed/檢測網站是否存在該漏洞，若是被標爲紅色就暫時不要登陸。