В первой половине 2016 года, большая часть сайтов с шифрованием оказалась под угрозой уязвимости CVE-2016-2107 о которой было известно еще в далеком 2013 году, но вот исправление этой уязвимости привело к новой, о которой стало известно лишь в мае этого года. Если сервер поддерживал AES-NI — то можно было расшифровать https трафик cайта и спокойно получать информацию. В новых версиях openssl 1.0.2h эту ошибку устранили, но большинство обновившихся — до сих пор под угрозой. Почему? — ответ прост: веб сервер как правило использует собственную сборку openssl — и обновляя системную — это никак не сказывается на реальной работе сайта — в итоге в работе все такой же старый модуль openssl — многие владельцы VPS и выделенных серверов не знаю как правильно работать с openssl и только начинают работать с шифрованием данных — в итоге данные могут быть украдены и дешифрованы. Владельцам облачных хостингов с ssl мы бы рекомендовали проверить хостера через ssllabs и подобные сервисы.

Запись Выпущена серьезная заплатка для openssl 2016 впервые появилась Siteshare LTD - Сайты, приложения, SEO, маркетинг и реклама.