¿"Extensión de latido deshabilitada" significa que el sitio era anteriormente vulnerable?

Navega tus respuestas
1

Uno de los servicios que uso es decir que no se vieron afectados por la hemorragia cardíaca. Pero cuando reviso su sitio con la herramienta en enlace , esto es lo que dice: 

Looking for TLS extensions on https://xxxxxxxxxx

ext 65281 (renegotiation info, length=1)
TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected.

Tenía la impresión de que el latido del corazón era considerado benigno anteriormente, y las personas solo lo han estado inhabilitando en los últimos días si no querían actualizar OpenSSL. ¿Hay alguna razón por la que un servidor pueda haberlo desactivado todo el tiempo?

Alternativamente, ¿es posible que la herramienta esté devolviendo esta respuesta si está usando un software SSL diferente que nunca tuvo un latido disponible? ¿Hay alguna manera de obtener información más completa sobre esto?

    
pregunta octern 09.04.2014 - 20:17
fuente

2 respuestas

3

No. "Desactivado" significa que el cliente anunció la compatibilidad con la extensión de latido, y el servidor no respondió "¡oye, yo también lo sé! ¡Vamos a latir juntos!".

Este término significa no que la extensión de latido fue admitida , pero luego se eliminó de alguna manera. Esta información no es accesible desde el exterior. Todo lo que se puede saber es si el servidor actualmente parece manejar los latidos del corazón, o no.

Debido a que las distribuciones de Linux introdujeron correcciones rápidamente a través de los mecanismos de actualización de seguridad normales (como corresponde al caso), se espera que cualquier servidor administrado de forma decente ya haya sido arreglado o pronto lo estará. Los servidores que tienen el error y lo siguen teniendo son servidores con un mantenimiento deficiente, lo que significa que probablemente ya tengan mayores agujeros de seguridad.

    
respondido por el Thomas Pornin 09.04.2014 - 20:41
fuente
1

En resumen, no hay manera de decir explícitamente que anteriormente era vulnerable. Como mencionó Nathan en su comentario, los servidores que no se habían actualizado desde 0.9.8 no tendrían latidos disponibles, lo que significa que el servidor estaba a salvo de Heartbleed. Si fueran vulnerables y desde entonces han desactivado la funcionalidad del latido del corazón, entonces no tendrías forma de saberlo. Si aún está preocupado por su información sobre el servicio, intente ponerse en contacto con el administrador y pregúntele personalmente. Si fueron afectados previamente, hay mucho MUCHO que tienen que hacer para remediar Heartbleed que simplemente apagar el latido del corazón.

    
respondido por el Jason Higgins 09.04.2014 - 20:40
fuente

Lea otras preguntas en las etiquetas

¿Es adecuado bcrypt para uso moderno? [duplicar] Perplejidades sobre el protocolo de enlace TLS