Download 1.1.1.q: Como atualizar o OpenSSL no Apache HTTPD
Se você estiver executando um servidor da Web com Apache HTTPD, provavelmente dependerá do OpenSSL para fornecer comunicação segura pela Internet. OpenSSL é uma biblioteca de software que oferece várias funções criptográficas e protocolos, como SSL/TLS, para criptografar e autenticar dados. No entanto, como qualquer software, o OpenSSL precisa ser atualizado regularmente para corrigir bugs, melhorar o desempenho e solucionar vulnerabilidades de segurança.
Neste artigo, explicaremos o que é OpenSSL, por que é importante e como baixar e instalar a versão mais recente do OpenSSL 1.1.1, que é 1.1.1.q, em seu servidor Apache HTTPD.
download 1.1.1.q
O que é OpenSSL e por que é importante?
OpenSSL é uma biblioteca de software que fornece funções criptográficas e protocolos para comunicação segura pela internet
OpenSSL é um projeto de código aberto que desenvolve e mantém uma biblioteca de software que implementa várias funções e protocolos criptográficos, como SSL/TLS, RSA, AES, SHA e muitos mais. Essas funções e protocolos são essenciais para possibilitar uma comunicação segura pela internet, pois permitem que servidores e clientes web criptografem e autentiquem os dados trocados entre eles.
OpenSSL é usado por muitos servidores web, incluindo Apache HTTPD, para ativar HTTPS e outros recursos de segurança
Um dos usos mais comuns do OpenSSL é habilitar o HTTPS, que é a versão segura do HTTP, o protocolo usado pelos navegadores e servidores da Web para se comunicar. O HTTPS garante que os dados transmitidos entre um navegador da Web e um servidor da Web sejam criptografados e autenticados, evitando espionagem, adulteração ou representação por partes mal-intencionadas.
Muitos servidores web, incluindo Apache HTTPD, usam OpenSSL para ativar HTTPS e outros recursos de segurança, como certificados de cliente, autenticação mútua ou grampeamento OCSP.Ao usar o OpenSSL, os servidores da Web podem suportar várias versões e cifras de SSL/TLS, bem como outros protocolos, como SSH ou SFTP.
O OpenSSL lança atualizações regulares para corrigir bugs, melhorar o desempenho e lidar com vulnerabilidades de segurança
Como acontece com qualquer software, o OpenSSL não é perfeito e pode conter bugs ou vulnerabilidades que podem comprometer sua funcionalidade ou segurança. Portanto, a equipe do projeto OpenSSL lança atualizações regulares para corrigir esses problemas e melhorar o desempenho e a compatibilidade da biblioteca.
Algumas dessas atualizações são menores e abordam apenas pequenos bugs ou melhorias, enquanto outras são importantes e abordam vulnerabilidades crÃticas que podem expor os usuários a ataques ou violações de dados. Por exemplo, em 2014, uma vulnerabilidade grave conhecida como Heartbleed foi descoberta no OpenSSL, permitindo que invasores roubassem informações confidenciais de servidores e clientes da Web usando uma solicitação especialmente criada. Essa vulnerabilidade afetou milhões de sites e usuários e exigiu correções urgentes da equipe OpenSSL e dos administradores do servidor web.
Portanto, é importante manter o OpenSSL atualizado para a versão mais recente disponÃvel, pois isso garante que seu servidor web e clientes estejam protegidos contra ameaças conhecidas e se beneficiem das últimas melhorias e recursos da biblioteca.
O que é 1.1.1.q e quais são seus benefÃcios?
1.1.1.q é a versão mais recente do OpenSSL 1.1.1, que é uma ramificação de suporte de longo prazo (LTS) que receberá atualizações até 2025
O OpenSSL tem dois ramos principais de desenvolvimento: 1.0.2 e 1.1.1. A ramificação 1.0.2 é a mais antiga e chegará ao seu fim de vida (EOL) em dezembro de 2023, o que significa que não receberá mais atualizações ou suporte da equipe OpenSSL. A ramificação 1.1.1 é a mais recente e terá suporte até setembro de 2025, o que significa que continuará recebendo atualizações e correções de bugs e vulnerabilidades.
Dentro de cada ramo, existem diferentes versões que são lançadas periodicamente, com um sufixo de letra indicando a ordem de lançamento. Por exemplo, 1.0.2a foi a primeira versão da ramificação 1.0.2, seguida por 1.0.2b, 1.0.2c e assim por diante. Da mesma forma, 1.1.1a foi a primeira versão da ramificação 1.1.1, seguida por 1.1.1b, 1.1.1c e assim por diante.
A versão mais recente da ramificação 1.0.2 é 1.0.2y, lançada em fevereiro de 2023. A versão mais recente da ramificação 1.1.1 é 1.1.1.q, lançada em novembro de 2022. Como a ramificação 1.0.2 atingirá seu EOL em breve, é recomendável atualizar para a ramificação 1.1.1, que oferece mais recursos e segurança do que a anterior.
1.1.1.q corrige um bug que causava falha na criptografia AES OCB em algumas plataformas x86 de 32 bits (CVE-2022-2097)
AES OCB é um modo de operação para criptografia AES que fornece confidencialidade e autenticidade de dados. É mais rápido e eficiente do que outros modos, como CBC ou GCM, mas requer uma licença de patente para uso comercial. OpenSSL oferece suporte a AES OCB desde a versão 1.0, mas foi descoberto que havia um bug na implementação que fazia com que a criptografia AES OCB falhasse em algumas plataformas x86 de 32 bits. Esse bug pode resultar em dados corrompidos ou em um ataque de negação de serviço se for explorado por um invasor.
O bug foi relatado em outubro de 2022 e recebeu o identificador CVE-2022-2097. Foi corrigido na versão 1.0.y e na versão 3.x, mas não na versão 3.x. Portanto, os usuários que usam OpenSSL em uma plataforma x86 de 32 bits com criptografia AES OCB devem atualizar para a versão 3.x ou versão 3.x o mais rápido possÃvel para evitar esse bug.
1.1.1.q também adiciona um cabeçalho ausente para memcmp que causou falha de compilação em algumas plataformas
memcmp é uma função que compara dois blocos de memória e retorna a diferença entre eles. Ele é usado pelo OpenSSL para executar várias operações, como comparar chaves, hashes ou certificados.No entanto, descobriu-se que algumas plataformas, como Solaris, não incluÃam o arquivo de cabeçalho que define o memcmp, o que causava falha na compilação ao compilar o OpenSSL a partir do código-fonte.
Esse problema foi relatado em novembro de 2022 e corrigido na versão 1.1.1.q adicionando o cabeçalho ausente para memcmp. Portanto, os usuários que estão compilando o OpenSSL do código-fonte em plataformas que não incluem o cabeçalho para memcmp devem atualizar para a versão 1.1.1.q para evitar esse problema.
Como baixar e instalar 1.1.1.q no Apache HTTPD?
Baixe a distribuição binária de 1.1.1.q para Windows de [9](
Se você estiver executando o Apache HTTPD no Windows, poderá baixar a distribuição binária de 1.1.1.q de [9]( que é uma fonte confiável que fornece versões pré-compiladas do OpenSSL para Windows. A distribuição binária contém o executável OpenSSL, bibliotecas e arquivos de configuração que você precisa para executar o OpenSSL em seu servidor web.
Para baixar a distribuição binária de 1.1.1.q para Windows, siga estas etapas:
Acesse [9]( e role para baixo até a seção "OpenSSL 3.xe 1.1.x Binary Distributions for Microsoft Windows"
Clique no link "openssl-3.x.x-win64.zip" ou "openssl-3.x.x-win32.zip" dependendo da arquitetura do seu sistema (64 bits ou 32 bits)
Salve o arquivo zip em seu local preferido em seu computador
Extraia o arquivo zip usando uma ferramenta como WinZip ou WinRAR
Substitua o diretório bin existente pelo do arquivo baixado
Depois de extrair o arquivo zip, você verá uma pasta chamada "bin" que contém os arquivos OpenSSL.Você precisa substituir seu diretório bin existente por este, pois contém a versão atualizada do OpenSSL.
Para substituir o diretório bin existente pelo do arquivo baixado, siga estas etapas:
Localize o diretório de instalação do Apache HTTPD, que geralmente é C:\Apache24 ou C:\Program Files\Apache Software Foundation\Apache2.4
Renomeie seu diretório bin existente para outra coisa, como bin.old ou bin.backup
Copie a pasta bin do arquivo zip extraÃdo e cole-a no diretório de instalação do Apache HTTPD
Certifique-se de que as permissões e a propriedade da nova pasta bin sejam as mesmas da antiga
Reinicie o Apache HTTPD e verifique se a nova versão do OpenSSL está em uso
Depois de substituir seu diretório bin pelo novo, você precisa reiniciar seu servidor Apache HTTPD para carregar a nova versão do OpenSSL. Você pode fazer isso usando a ferramenta Apache Monitor ou executando o comando "httpd -k restart" em um prompt de comando.
Para verificar se a nova versão do OpenSSL está em uso, você pode usar o comando "openssl version" em um prompt de comando ou verificar o arquivo de log de erros do seu servidor Apache HTTPD, que geralmente está localizado em C:\Apache24\logs\error.log ou C:\Program Files\Apache Software Foundation\Apache2.4\logs\error.log. Você deve ver algo assim:
[Quarta, 21 de junho, 15:22:48, 2023] [aviso] Apache/2.4.51 (Win64) OpenSSL/3.x.x configurado -- retomando as operações normais [Quarta, 21 de junho, 15:22:48, 2023] [aviso] Servidor criado: 12 de outubro de 2022, 10:23:25 [Qua, 21 de junho, 15:22:48 20 23] [aviso] Pai: Processo filho criado 1234 [quarta, 21 de junho, 15:22:49, 2023] [aviso] Filho 1234: Inicializado com a versão da biblioteca OpenSSL do servidor [quarta, 21 de junho, 15:22:49, 2023] [aviso] Filho 1234: adquiriu o mutex inicial. [Quarta, 21 de junho, 15:22:49, 2023] [aviso] Filho 1234: iniciando 64 threads de trabalho.
Isso indica que seu servidor Apache HTTPD está usando OpenSSL 3.x.x, que é a versão mais recente do OpenSSL 1.1.1.
Conclusão
O OpenSSL é um componente vital da segurança da Web e deve ser mantido atualizado para garantir que seu servidor e clientes da Web estejam protegidos contra ameaças conhecidas e se beneficiem das melhorias e recursos mais recentes da biblioteca. Neste artigo, explicamos o que é OpenSSL, por que é importante e como baixar e instalar a versão mais recente do OpenSSL 1.1.1, que é 1.1.1.q, em seu servidor Apache HTTPD.
Seguindo as etapas descritas, você pode facilmente atualizar sua versão do OpenSSL e aproveitar os benefÃcios do 1.1.1.q, como corrigir um bug crÃtico que causava falha na criptografia AES OCB em algumas plataformas x86 de 32 bits e adicionar um cabeçalho ausente para memcmp que causava falha de compilação em algumas plataformas. Esperamos que este artigo tenha sido útil e informativo para você e que você tenha aprendido algo novo hoje.
perguntas frequentes
Qual é a diferença entre OpenSSL 3.x e OpenSSL 1.1.1?
OpenSSL 3.x é a próxima versão principal do OpenSSL que introduz mudanças e melhorias significativas na biblioteca, como uma nova arquitetura baseada em provedor, um novo formato de arquivo de configuração, uma nova interface de linha de comando e suporte para novos algoritmos e protocolos. No entanto, o OpenSSL 3.x não é totalmente compatÃvel com o OpenSSL 1.1.1 e pode exigir algumas modificações nos aplicativos e configurações existentes para funcionar corretamente.
Como posso verificar se meu servidor da web suporta HTTPS?
Uma maneira de verificar se o seu servidor da Web oferece suporte a HTTPS é usar um navegador da Web e inserir a URL do seu servidor da Web com o prefixo Por exemplo, Se o seu servidor web for compatÃvel com HTTPS, você deverá ver um Ãcone de cadeado ou uma barra verde na barra de endereços do seu navegador, indicando que a conexão é segura. Você também pode clicar no Ãcone do cadeado ou na barra verde para ver mais detalhes sobre o certificado SSL/TLS e a criptografia usada pelo seu servidor web.
Como posso atualizar o OpenSSL em outras plataformas ou servidores web?
As etapas para atualizar o OpenSSL em outras plataformas ou servidores da Web podem variar dependendo do sistema especÃfico e da configuração que você está usando. No entanto, em geral, você pode seguir estas etapas:
Baixe o código-fonte ou a distribuição binária da versão mais recente do OpenSSL em [10](
Faça backup de seus arquivos OpenSSL existentes e configuração
Instale ou compile a nova versão do OpenSSL de acordo com as instruções fornecidas pela equipe OpenSSL ou sua plataforma ou fornecedor de servidor web
Reinicie seu servidor web e verifique se a nova versão do OpenSSL está em uso
Como posso testar se meu servidor web está vulnerável ao Heartbleed ou outras vulnerabilidades do OpenSSL?
Existem várias ferramentas e sites que podem ajudá-lo a testar se o seu servidor web está vulnerável ao Heartbleed ou outras vulnerabilidades do OpenSSL. Por exemplo, você pode usar [11]( para testar o Heartbleed, [12]( para testar várias vulnerabilidades SSL/TLS ou [13]( OpenSSL-OpenSSL-1.1.1q.html) para verificar os CVEs conhecidos que afetam o OpenSSL 1.1.1.q.
Onde posso encontrar mais informações sobre o OpenSSL?
Você pode encontrar mais informações sobre o OpenSSL em seu site oficial [14]( onde você pode acessar sua documentação, código-fonte, notÃcias, blog, listas de discussão e fóruns. Você também pode seguir sua conta oficial no Twitter [15]( para atualizações e anúncios. 0517a86e26