Verifique se um site ainda tem problemas com o Heartbleed

Verifique se um site que utiliza SSL (cadeado de segurança) já possui as atualizações contra o Heartbleed.

Na última semana um problema de vulnerabilidade do OpenSSL fez com que muitos avaliassem se realmente as criptografias SSL são tão seguras como pensávamos.

O erro chamado de Heartbleed (sangria do coração) é uma séria vulnerabilidade na popular biblioteca de software de criptografia OpenSSL. Esta fraqueza permitia que hackers e crackers conseguissem ler as informações transmitidas entre o computador do usuário e o servidor que enviava a encriptação SSL/TLS.

openSSL heartbleed

O SSL/TLS fornece uma comunicação segura e privativa na internet para as aplicações web, e-mail, mensagem instantânea (IM) e redes virtuais privadas (VPN). Então aqueles sites onde você via o cadeado no navegador e achava que estava totalmente seguro, podem ter tido a sua segurança da informação comprometida.

Há quem diga que o governo dos EUA já sabia desta vulnerabilidade há pelo menos 2 anos e usava isso para espionar os usuários e obter as informações com a sua NSA (Agência de Segurança Nacional).

Felizmente esta falha foi consertada rapidamente, mas como já podem estar utilizando o Hertbleed há alguns anos, seus dados pessoais que utilizou em lojas virtuais como endereço, dados de cartões de crédito, financeiro, usuário, senhas e outros podem ter sido capturados nos sites de lojas virtuais e outros que usam o SSL.

Outros serviços que utilizam o SSL são as redes sociais e mensageiros instantâneos.

E como sanar este problema do Heartbleed?

Basta que o servidor utilize a nova versão do OpenSSL que possuía um problema de programação que permitia a chave principal de segurança ser vista pelos invasores.

A empresa certificadora também deve emitir uma nova chave, tendo em vista que a atual pode ter sido descoberta e com ela é possível descriptografar os dados.

Onde eu encontro mais informações a respeito?

Você pode encontrar informações mais detalhadas sobre este problema no site foi exclusivamente para informar sobre esta vulnerabilidade aqui: http://heartbleed.com/

Como eu texto se um site já atualizou o OpenSSL e está seguro contra o Heartbleed?

Para verificar se um site já atualizou a biblioteca openSSL em seu servidor e está livre do problema CVE-2014-0160, basta acessar este site https://filippo.io/Heartbleed/ e colocar o endereço no campo que está lá.

heartbleed site test

Se aparecer a mensagem Uh-oh, something went wrong após a consulta, provavelmente há algo de errado com o certificado SSL. Se a mensagem for All good, enderecodosite.com.br seems fixed or unaffected! significa que não forma encontrados problemas no SSL.

Nota: Nem todos os sites da internet utilizam SSL pois na maioria dos casos não há necessidade disso. O SSL é utilizado em páginas ou sites onde dados particulares de visitantes são coletados e normalmente armazenados, como é o caso das lojas virtuais e redes sociais, por exemplo.