O que é?
No início da semana foi anunciada uma falha de segurança no OpenSSL, um standard open-source na encriptação de dados e que é usado pela grande maioria dos sites, serviços de email, IM, entre outros. Esta grave falha de segurança permite o acesso a informação protegida e confidencial através da leitura de memória de um servidor ( normalmente porções de 64kb ) e resultando no acesso a informações privadas e confidenciais, e até a chaves privadas de certificados SSL.
Sendo o SSL um importante protocolo na segurança do tráfego internet, nomeadamente na segurança ou encriptação de pedidos, logins, transacções online, etc, esta falha ganha uma dimensão e importância crítica.
O que foi feito pela PTisp?
Após o anuncio desta falha, foi realizada uma auditoria e atualização do OpenSSL em todos os servidores da nossa infra-estrutura e de clientes geridos.
Embora não existam evidências de alguma falha, por precaução todos os certificados SSL adquiridos nos nossos serviços foram re-emitidos e reinstalados sem qualquer custo. Foram também cancelados os certificados iniciais.
O que devo fazer?
Caso possua um servidor próprio deverá actualizar de imediato a versão do OpenSSL. Deverá ainda gerar novos certificados SSL substituindo a chave privada, cancelar o certificado original, bem como, por precaução, alterar a password de todos os utilizadores.
