您好。
近期 OpenSSL 的 HeartBleed 漏洞消息被反复提及,天威诚信为保障您更安全的使用我司提供的SSL证书产品,已第一时间发布通知提醒您自查服务器 OpenSSL版本并提醒您通过更新版本修复漏洞。
我们再次提示您一些相关此漏洞的重点事实信息:
该漏洞不是 SSL/TLS 协议漏洞,也不是天威诚信提供的Symantec SSL 证书产品漏洞。
漏洞只影响 OpenSSL 1.0.1 至 1.0.1f 各版本用户,1.0.1g及其他更早版本不受影响。或在您编译安装 OpenSSL 时禁用 Heartbeat 扩展,也可不受该漏洞影响。
根据现有资料表明,存在漏洞的服务器在遭受攻击后将会泄露服务器内存中的隐私数据信息。
仅仅修复漏洞还不足够安全,攻击者可能已从之前的攻击行为中窃取部分关键数据。
在您完成漏洞修复工作之后,天威诚信仍需提示您,如果您的服务器曾经使用过包含漏洞的 OpenSSL版本并对外提供 https服务,攻击者就可能在漏洞存续期间窃取到您的服务器证书私钥数据。
为避免因SSL证书私钥泄密带来更为严重的安全隐患,天威诚信为所有受到该漏洞影响的客户免费提供服务器证书密钥替换服务(替换证书信息需与原证书信息保持一致)。
如果您需要证书免费替换服务,请随时联系我们为您提供证书替换服务指导。
联系我们:
******************************
天威诚信客户服务中心
官方网站:www.itrus.com.cn
技术支持:support@itrus.com.cn
服务热线:4006-365-010
直线电话:010-82961709
其他来自天威诚信的答复:
Q:我的服务器没有使用任何 OpenSSL 的版本,我需要做点什么吗?
A:您无需针对该漏洞做任何操作。
Q:我的服务器使用过含漏洞的 OpenSSL 版本,我该怎么做?
A:除了升级 OpenSSL 到最新的 1.0.1g外,降级到 1.0.0 或 0.9.8 都可以避免漏洞攻击。或在您重新编译安装 1.0.1 版本时,禁用 Heartbeat 模块。完成漏洞修复后,尽快联系天威诚信协助您替换证书,为证书更换新的密钥对。如果您在漏洞版本的 Web Server 上部署过需要认证登陆的Web 应用,在您完成其他安全升级之后,提醒您的网站用户修改密码,避免用户数据泄露。
Q:这次漏洞事件中,天威诚信的证书安全是受到了影响?证书颁发机构的安全不会有问题吧?
A:天威诚信提供Symantec全品牌、全线SSL证书产品。Symantec已在第一时间升级服务器端受该漏洞影响的服务器,同时已完成所有受影响服务器上的SSL证书密钥。证书颁发机构的CA证书不受此漏洞影响,因此CA证书无需更换且保障足够安全。
Q:我没有使用 Apache 或 Nginx 的 Web Server,我的服务器会受到漏洞影响吗?
A:除了 Apache 和 Nginx,OpenSSL还被广泛应用于其他传输加密运算。如果您的服务器使用其他方式调用 OpenSSL 加密程序库,也会受到漏洞影响。
当然如果您使用 Tomcat、Weblogic、Websphere 等基于 Java JCE 加密通讯服务的服务器,一定不会受到这个漏洞影响。
Q:如果我选择替换证书,需要收取费用吗?
A:受此漏洞影响的证书替换是免费的。我们为您提供免费的更换证书密钥服务并稍后为您废止可能存在密钥泄密风险的SSL证书。
Q:我多长时间能收到替换后的新证书?
A:我们将在第一时间为您处理证书替换申请,在不损失服务器证书剩余有效期的前提下,通常两个工作日内就能收到替换后的新证书。
Q:天威诚信提供的代码签名证书受影响吗?
A:代码签名证书不受影响。