De lo que tengo entendido, si generaste un certificado SSL (*) que haya sido hackeado antes (**), habrá que volver a generar uno nuevo para garantizar la seguridad de la comunicación.
No es que siga siendo vulnerable a un *nuevo* atacante (una vez actualizado el servidor), pero crackers podrían haberte robado tu llave privada (**) antes de que actualices tu servidor, y en este caso pueden sin problema espiar y decifrar tus comunicaciones actuales, hasta que cambies de certificado. Para una mayor seguridad en adelante, mejor vale volver a generar el certificado si lo usas. Obviamente, se trata de una operación algo pesada para no-expertos, porque no es frecuente cambiar un certificado. Si no usas comunicaciones cifradas, no te quejes: estás jodido desde el inicio, y te pueden robar información ahora como lo pudieron hacer siempre. Si usas SSL, solo hay unas probabilidades que te hayan robado información crítica, lo cual es grave, pero por lo meno reduciste las probabilidades. Según la explicación detallada aquí: http://heartbleed.com/, la solución implementada en la actualización 1.0.1g de OpenSSL elimina la falla pero no corrige todavía la parte vulnerable (entiendo que temporalmente bajan un poco el nivel de seguridad, a un nivel razonable, mientras van encontrando la solución perfecta). Saludos, Yannick * para tener un sitio web en https, por ejemplo ** entre el 14 de Marzo del 2012 y ahora, y no se puede saber si ha sido hackeado en el pasado o no, por lo que se tiene que suponer que lo fue On mer, 2014-04-09 at 06:55 -0500, Clever Flores wrote: > Con un update de paquetes en Ubuntu y CentOS se soluciona, me imagino > como será en todos esos Linux > que ya no tienen soporte de actualizaciones, el fallo es muy crítico y > es necesaria > la actualización > > > El 9 de abril de 2014, 6:29, Clever Flores <[email protected]> > escribió: > El fallo ya ha sido reportado como el más grave de la historia > de la internet y de Linux > > http://www.theverge.com/2014/4/8/5594266/how-heartbleed-broke-the-internet > > > > Averiguen si sus sitios https son seguros > http://filippo.io/Heartbleed/ > > > > > El 8 de abril de 2014, 17:09, Clever Flores > <[email protected]> escribió: > > Las versiones de Zimbra 8.0.3 a 8.07 también son > vulnerables y requieres de un patch > > http://files.zimbra.com/downloads/security/zmopenssl-updater.sh > > > > > El 8 de abril de 2014, 15:40, Raul Hugo > <[email protected]> escribió: > > Gracias Antonio, > > > Por cierto Amazon Linux Ami también ya sacó > una actualización, solo basta hacer un yum > update openssl . > > > > > El 8 de abril de 2014, 15:07, Antonio Ognio > <[email protected]> escribió: > Saludos, > > > Me acabo de enterar de esta > vulnerabilidad: > > > http://heartbleed.com/ > > > > Varios colegas estan verificando si un > servidor es vulnerable o no con esta > herramienta: > > > https://github.com/titanous/heartbleeder > > > Si su sistema operativa usa OpenSSL > 1.0.1 sus servidores son vulnerables. > > CentOS ya sacó su parche acá: > > > > http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html > > > > Si tienen servidores con Ubuntu LTS > 12.04 les conviene darle una mirada a > esta discusión: > > > > > http://serverfault.com/questions/587574/apache-2-is-still-vulnerable-to-heartbleed-after-update-reboot > > > > Antonio > > > > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre > Linux > Peruvian Linux User Group > (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo > a: [email protected] > Para darte de alta, de baja o hacer > ajustes a tu suscripción visita: > > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > > http://www.linux.org.pe/listas/comportamiento.php > > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de > http://cipher.pe > > > > > -- > Un abrazo! > > Raúl Hugo > Miembro Asociado > > http://apesol.org.pe > SysAdmin > Cel. #961-710-096 > Linux Registered User #482081 - > http://counter.li.org/ > > P Antes de imprimir este e-mail piense bien si > es necesario hacerlo > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group > (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: > [email protected] > Para darte de alta, de baja o hacer ajustes a > tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de > http://cipher.pe > > > > > -- > Clever Flores > Perú Linux SAC > Tel: 640-5800 Anexo 104 > Blog: http://www.perulinux.pe/blog/clever > > > > > -- > Clever Flores > Perú Linux SAC > Tel: 640-5800 Anexo 104 > Blog: http://www.perulinux.pe/blog/clever > > > > > -- > Clever Flores > Perú Linux SAC > Tel: 640-5800 Anexo 104 > Blog: http://www.perulinux.pe/blog/clever > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
