最近 OpenSSL 出了一個大包!基於一個程式的 Bug,可以在 TLS connection 中取得 Private Key。這意謂著,如果我可以監聽 SSL 封包,那我就能夠反解出你的帳號密碼等相關資訊!
這是非常非常嚴重的問題,所以在各個平台也都很快的推出 OpenSSL 的更新了!請系統管理者盡快更新你們的系統吧!
不過這件事情對一般使用者的影響是甚麼呢? 就是在你常去的網站,有使用 SSL 的,你應該要確認該網站已經 Patch 了,確認後,就更換掉你的密碼來確保安全!
怎麼知道是否有修復呢? 以下提供一個網站測試:
測試方式很簡單,只要輸入網址即可! (如果你常去的網站不是 https 就不需要測試了~ 反正本來就不安全!
)
其中如果你是自己核發的 SSL 憑證,就把 [ ] Advanced (might cause false results): ignore certificates
打勾,這樣可以略過憑證的檢查
測試看看哪個網站沒更新,就可以寫信去提醒一下管理者喔!