Eseguo un server la cui unica porta pubblica aperta è 80, che serve dati non crittografati su HTTP, non HTTPS. È interessato da Heartbleed?
Teun Vink ha ragione, non è vulnerabile se si è certi che https è disattivato, ad esempio spegnendo mod_ssl.
Anche se non utilizzi attivamente https, potrebbe comunque essere abilitato. Molti server hanno abilitato https per impostazione predefinita con alcuni certificati generati automaticamente. Questo non sarà valido e genererà un errore o un avvertimento nei browser, ma sarà comunque sfruttabile.
Se puoi modificare la configurazione di apache, disabilita mod_ssl con a2dismod ssl
. Su Windows non sono sicuro che funzioni; per esempio in un'installazione di xampp dovresti modificare il file httpd.conf nella cartella xampp/apache/conf
. Metti un cancelletto (#) davanti alla riga che dice
LoadModule <something_with_ssl>
così diventa #LoadModule <something_with_ssl>
Se disabilitare mod_ssl causa problemi in altre parti della configurazione, puoi anche semplicemente assicurarti che l'unica opzione Listen
sia per la porta 80. Dovresti cercare in tutti i file di configurazione per quelle opzioni Listen
, ad esempio con grep o su Windows è possibile utilizzare la funzione di ricerca nei file di Notepad ++.
In ogni caso, è consigliabile aggiornare OpenSSL se possibile. Altre cose potrebbero usarlo, o qualcuno potrebbe attivare https in futuro senza rendersi conto che è vulnerabile.
TL; DR: Aggiorna OpenSSL se possibile, anche se non sei vulnerabile. Se non è possibile, assicurati assolutamente di non utilizzare https.
No, non lo è. Heartbleed è una vulnerabilità OpenSSL, non viene utilizzato OpenSSL per HTTP.
Leggi altre domande sui tag apache tls heartbleed