W połowie maja poinformowano o luce w oprogramowaniu OpenSSL, która pozwala na odgadnięcie kluczy szyfrujących, np. za pomocą metody brute-force. Błąd został wprowadzony przez patch zastosowany we wspomnianych dystrybucjach Linuksa. Problem dotyczy certyfikatów SSL wystawionych pomiędzy 17. września 2006 r., a 12. maja 2008 r.

Jeżeli zachodzi podejrzenie, że klucz prywatny, który został użyty do wygenerowania pliku CSR (a tym samym certyfikatu SSL) był wygenerowany w tym czasie za pomocą biblioteki OpenSSL w systemie Debian, Ubuntu lub pochodnym, zaleca się ponowne wygenerowanie klucza i wystąpienie o odnowienie certyfikatu - informuje firma Gigaone. Oczywiście użytkownicy wspomnianych dystrybucji powinni wcześniej dokonać aktualizacji systemu.

Firma VeriSign, właściciel marek GeoTrust, RapidSSL, thawte i VeriSign poinformowała, że wszyscy jej klienci mogą skorzystać z bezpłatnych odnowień certyfikatów SSL. Przedstawiciele firmy dodali przy okazji, że główne certyfikaty (Root CA) używane do wystawiania certyfikatów SSL dostępnymi pod markami GeoTrust, RapidSSL, thawte i VeriSign są wolne od wspomnianej luki.

Jak dokonać odnowienia certyfikatu SSL?

1) Należy wygenerować nowy klucz prywatny oraz nowy plik CSR.

Przed rozpoczęciem generowania klucza prywatnego w systemach Debian/Ubuntu biblioteka OpenSSL musi zostać zaktualizowana do wersji pozbawionych w/w luk.

Ważne jest ponadto, by generując nowy plik CSR podać te same informacje, który zostałe użyte podczas generowania pliku CSR wykorzystanego do wystawienia aktualnego certyfikatu.

2) Wykorzystując poniższe linki należy postępować w/g zawartych tam wskazówek:

• Odnowienia certyfikatów RapidSSL
• Odnowienia certyfikatów GeoTrust
• Odnowienia certyfikatów VeriSign
• Odnowienia certyfikatów thawte

Program bezpłatnej wymiany certyfikatów jest ograniczony czasowo do 30. czerwca 2008 r.