核心提示：互聯網服務公司周六報告說，與之前的懷疑相反，黑客可以通過一個名為 . 就在昨天，一項初步調查被公布，稱……

這家互聯網服務公司周六報告說服務器運維外包，與之前的懷疑相反，黑客可以通過一個名為 .

就在昨天，初步調查結果公布，拿到重要密鑰可能很難破譯層。 確認該結論并發起挑戰； 看到別人可能泄露的后果，該公司在服務器上設置了一個包含錯誤的nginx版本，并邀請網友竊取私鑰。

九個小時后，芬蘭國家網絡安全中心的軟件工程師（合同工）Fedor 和 Ilkka 拿到了服務器的私鑰。 他們只會利用漏洞。 在撰寫本文時，確定了前四位獲獎者：mdash； 破折號； 劍橋大學安全組的魯賓博士和安全研究員Ben Ben。

這個結果表明，僅針對不包含漏洞的漏洞更新服務器是不夠的。 因為默認不顯示在服務器日志中，所以易受攻擊的站點不能排除私鑰被內存黑客獲取的可能性。 任何擁有私鑰的人都可以用它來建立一個假冒的網站，這實際上是大多數用戶無法識別的，任何訪問這個假冒網站的互聯網用戶都會看到與該網站相同的 HTTPS 前綴和掛鎖圖標。

獲得私人 SSL 證書可能意味著，為了謹慎起見，使用易受攻擊版本的網站管理員應盡快撤銷舊證書并用新證書替換它們，這一啟示可能會導致問題，具體取決于受影響的網站數量。

壞消息是，在發現我們提出的變更“補發證書成為重要項目”后， ARS 的首席執行官在給 ARS 的電子郵件中寫道，我們加快了更改證書的過程。

初步推測服務器運維外包，至少在所使用的基于 Linux 的平臺上，服務器證書和私鑰通常在啟動后存儲在內存中，并且由于服務器系統通常沒有啟動，所以有些可以通過內存訪問（通常為 64KB）包含在服務器的私鑰中。 鑰匙。

竊取大量私鑰是最糟糕的情況，因為它向虛假網站的制作者開放網站，并使聽眾能夠破譯表面上安全的通信。

最后，服務器發送了超過 250 萬個請求。 同時發送他們可以竊取服務器的私鑰，他們說他們在挑戰開始后大約 6 小時重新啟動了服務器。 該公司認為，重啟可能會出現未初始化的存儲密鑰。

這種敏感信息是可以獲取的，這很麻煩，不像當前的解決方案那樣允許用戶輕松更改密碼。 ldquo;我們的這個發現是一個建議，每個人都應該用新的替換舊的私鑰并取消舊的私鑰，'在今天的更新中寫道。 ldquo; 為了客戶的利益，為我們的客戶管理加速SSL密鑰執行。

挑戰獲勝者 Fedor 在他的推特上寫道，我估計大約有 650 萬個 TLS/SSL 證書。 顯然，并非每個擁有這些證書的網站都被使用，但它已成為一個大型清理項目，這非常令人擔憂。

撤銷和更換證書的過程是非常不方便和緩慢的，即使只有不到一半的互聯網同時經歷這個過程，ldquo;如果所有站點都撤銷了他們的證書，這將造成巨大的負擔并給性能帶來影響互聯網，成本，寫在周五的博客中。 ldquo; 這種規模的取消和替換過程可能會破壞 CA（證書頒發機構）架構。

該公司表示，它已逐步開始為在其架構上運行的那些網站淘汰和更換 SSL 證書，預計將在下周某個時候完成。

{Ars 翻譯}