Google güvenlik ekibi tarafından 7 Nisan’da OpenSSL üzerinde ciddi bir güvenlik açığı tespit edildi.

Heartbleed adıyla tanımlanan bu açık internette bilgi güvenliği için kullanılan SSL / TLS şifreleme ile korunabilen bilgiler üzerinde yüksek derecede risk oluşturdu.

Güvenlik açığının duyurulmasını takiben Radore olarak paylaşımlı servis sağladığımız web hosting sunucularımız üzerinde gerekli görülen güvenlik önlemlerini aldık.

SSL Sertifikası – OpenSSL Nedir ?

SSL kelimesi terim olarak Secure Socket Layer kelimelerinin kısaltmasıdır. (Secure = Güvenli , Socket = Soket ve Layer = Katman)

SSL birbiri ile nasıl haberleşeceğini protokol olarak bilen iki uygulama arasında güvenli bir iletişim katmanı oluşturur. Bu katman içinden geçen veri o an için belirli şifreleme ve geri açma formüllerine göre gizlenerek transfer edilir. Kullanıcı tarafından gönderilen veri sunucuya şifrelenmiş bir şekilde iletilir. Güvenli bir katman üzerinden iletilen veri sayesinde iletişim güvenli hale gelir.

OpenSSL, açık kaynak olarak çalışan bir güvenlik sertifkası kütüphanesidir. Güvenlik açığı bulunan OpenSSL‘in otomatik olarak kurulu olduğu işletim sistemleri şunlardır:

Debian Wheezy

Ubuntu 12.04.4

CentOS 6.4

Fedora 18

OpenBSD 5.3

FreeBSD 10.0

NetBSD 5.0.2

OpenSUSE 12.2

Mevcut güvenlik açığı nasıl kapatılabilir ?

Sunucu üzerinde bulunan OpenSSL paketini güncelleyin.

Örn:

Redhat Distro işletim sistemi için konsol üzerindenyum update openssl” komutu girilmelidir.
Debian Distro işletim sistemi için konsol üzerinden

“sudo apt-get update”

“sudo apt-get upgrade” komutları girilmelidir.

Bu işlemin ardından SSL sertifikasını yeniden oluşturmanız gerekecektir. Yeni bir CSR kodu oluşturarak SSL sertifikanız üzerinde Reissue (Yeniden Oluşturma) işlemi yapmanızı öneririz.