On havaittu vakava tietoturvahaavoittuvuus OpenSSL-kirjastossa (kts. http://heartbleed.com/), jota monet Virtu-palvelut käyttävät vähintäänkin välillisesti.
Virtu-luottamusverkon kannalta asia ei aiheuta välittömiä toimenpiteitä, mutta yksittäisille palveluille hyvinkin todennäköisesti.
Yhteenveto
- Virtu-metadata allekirjoitetaan toimikortilla, josta nykytiedoilla ei ole mahdollista saada salaista avainta ulos.
- CSC:n keskitetyt Virtu-palvelinkomponentit eivät ole käyttäneet nyt raportoitua haavoittunutta OpenSSL-kirjastoa missään vaiheessa historiansa aikana.
- Kaikkien Virtu-palveluiden on syytä arvioida oma ympäristönsä ja suorittaa tarvittavat toimenpiteet. Huomioidaan erityisesti, että aukon hyväksikäytöstä ei jää jälkiä ja kaikki liikenne on mahdollista avata ml. varmenteiden yksityiset avaimet.
- Https-varmenteen osalta Virtu ei ota kantaa virallisesti, mutta luonnollisesti, jos epäiltäessä sen luotettavuutta on syytä ryhtyä toimenpiteisiin. Jos samaa varmennetta on käytetty Virtun SAML-varmenteena, tulee sekin vaihtaa.
- Jos päädytään vaihtamaan SAML-varmennetta, ohjeet: Varmenteen vaihtaminen