از زمان کشف آسیب پذیری Heartbleed در OpenSSL، بیش از 30000 گواهینامه TLS/SSL لغو شده و مجدداً با همان کلیدهای قبلی صادر شده است.
این گزارشات توسط Netcraft، پروژه ای که در حال مطالعه سایت های TLS/SSL بر روی اینترنت می باشد، منتشر شده است.
نقص Heartbleed به مهاجم اجازه می دهد تا به کلیدهای خصوصی سرورهایی که مبتنی بر OpenSSL هستند دسترسی یابند و با رمزگشایی داده ها به آن ها دسترسی یابند. در نتیجه این آسیب پذیری، می بایست گواهینامه های قدیمی سایت ها لغو شده و گواهینامه های جدید برای آن ها صادر شود.
با توجه به مطالعات Netcraft، برای 43 درصد از سایت های آُسیب پذیر مجددا گواهینامه صادر شده است. اما گواهینامه 7 درصد از این سایت ها با همان کلید خصوصی قدیمی صادر شده است. تنها 14 درصد از سایت ها توانسته اند تا گواهینامه های خود را با کلیدهای خصوصی جدید صادر کنند و بدین ترتیب توانسته اند تا جلوی حملات احتمالی را بگیرند.
در مجموع 20 درصد گواهینامه های خود را لغو کرده اند و تعداد بسیار کمی از سایت ها پس از لغو، گواهینامه جدیدی را صادر نکرده اند. در نهایت، در حال حاضر 5 درصد از سایت ها با وجود صدور مجدد گواهینامه، به دلیل صدور گواهینامه با همان کلیدهای خصوصی قبلی آسیب پذیر می باشند.
موفق باشید.
