解读《OPENSSL加密组件重大安全风险预警公告》

2019年11月30日，首都网警发布《OPENSSL加密组件重大安全风险预警通报》，内容如下:

据国家网络与信息安全信息通报中心监测，互联网SSL协议的实现组件OPENSSL部分版本存在重大安全隐患，可能导致信息泄露等风险。SSL(安全套接字层)协议是一种为网络通信提供安全性和数据完整性的安全协议。它在传输层加密网络。OPENSSL是一个实现SSL协议的开源软件。它提供了多种密码算法、公共密钥、数字证书封装管理等功能。

一、基本信息

这次事件发现:第一，很多RSA数字证书密钥可能被破解；第二，一些较低版本的OPENSSL组件存在内存泄漏漏洞。

第二，影响范围

上述问题涉及电信、金融、能源、医疗等重要行业领域，以及部分高校和企业的邮件系统和各种网络设备。当通信数据被截获后，攻击者可以利用上述漏洞获取用户账号密码、业务系统数据、邮件内容等敏感信息。

主机参考对首都网警的网络安全预警通报做了深入的分析和解读:

1.RSA是用于SSL数字证书的公钥加密算法，其密钥长度决定了加密信息的安全性。密钥长度越长，安全性越高，被破解的可能性越低。但是随着计算机技术的发展，以前认为安全的密码会被破解，这就是所谓的密码劣化。根据NIST的预测，1024位RSA不再安全，2030年前2048位RSA安全，2031年后4096位RSA安全。

目前国内很多重要的行业部门和高校还在使用1024位RSA的SSL证书，存在非常严重的安全隐患。在此，主机参考建议所有使用RSA1024证书的企业尽快将证书更换为RSA2048证书。

2.OPENSSL是一个广泛使用的开源软件，用于管理证书，如证书申请、安装和密钥管理。2014年，OPENSSL被发现存在灾难性的“心脏出血”漏洞。攻击者可以从内存中读取数据，如私钥、用户名和密码、电子邮件和其他通信。该漏洞影响了1.0.1.0.1f版本，随后OPENSSL在其1.0.1g版本中修复了该漏洞，虽然最终修复了该漏洞，但这一事件造成了严重影响，很多部署了https的网站的加密数据可能被窃取。

OPENSSL最新稳定版本为1.1.1，之前的主流版本1.0.2在2019年12月31日之后将不再提供安全维护和更新。1.0.1或更早版本都不安全。因此，主机参考建议所有部署SSL证书的企业立即检查服务器上OPENSSSL的版本，尽快升级到secure 1.1.1。

主机参考专注于互联网信息安全领域，为企业、组织或政府机构提供安全可靠的SSL证书，为您提供证书安装部署、加密协议和密码套件升级、安全策略优化等服务。免费，以确保您的网站和移动应用程序的安全。

声明:本文由“主机参考”原创发布，原文链接:https://www.zhujicankao.com/8996.html.未经允许不得转载该内容，转载时应注明出处！

这几篇文章你可能也喜欢：

• 大数据时代如何保护信息安全？
• 安装ssl证书可以帮助企业抵御网络攻击(手机安装SSL证书后无法访问)。
• 网站数据是如何泄露的，如何保护网站数据安全？
• 密码立法:保障信息安全刻不容缓。
• 为什么学校教育机构容易受到网络攻击(学校会知道教育网上的投诉吗)

本文由主机参考刊发，转载请注明：解读《OPENSSL加密组件重大安全风险预警公告》 https://zhujicankao.com/86503.html