在本周出现了大规模的Heartbleed漏洞之后，最大的担忧之一是该漏洞可能会泄露网站的私有SSL密钥，这是保护发送给用户的数据的绿锁的密钥。这尤其危险，因为如果攻击者确实访问了这些密钥，即使在服务器修补之后，这些密钥也可能被使用，从而允许在未来数月甚至数年内进行攻击。

“如果可能的话，至少是非常困难的。”

但今天，内容分发网络CloudFlare宣布Heartbleed可能根本不允许访问这些私钥。在两周的测试中，该公司一直无法用Heartbleed成功访问私钥，这表明攻击可能根本不可能发生。”研究人员尼克·沙利文写道：“如果可能的话，这至少是非常困难的。”我们有理由相信。。。如果这是真的，它使《心血》比许多人担心的危险性要小得多，为被破坏的网站提供了一种拯救的恩典。Sullivan承认，在安全测试中，一些私钥是通过对Apache服务器的第一次请求泄露的，但他将此与重新启动服务器的过程联系起来，这将严重限制对外部参与者的暴露。方法也浮出水面，帮助服务判断攻击者是否使用该漏洞攻击了他们的服务器。”Heartbleed仍然是极其危险的，“首席执行官Matthew Prince说，”但一些最可怕的恐惧是，像NSA这样的组织利用它来骗取每个人的私人SSL密钥，基于这项测试，我们似乎不太可能这样做。”

这是一场赌注很大的赌博

erratasecurity的罗伯特•大卫•格雷厄姆（Robert David Graham）本周早些时候也得出了类似的结论，他写了一篇题为“为什么Heartbleed不泄露私钥”的帖子，但在面临安全界的分歧后，他公开收回了这一说法。研究人员在排除攻击线时一直保持谨慎是可以理解的，因为假阴性可能会使服务运营商产生危险的安全感。不过，在他们第一次接触到这个bug两周后，CloudFlare已经准备好取消至少一些警报。

为了证明这一点，CloudFlare设置了一个故意易受攻击的页面，并挑战黑客使用Heartbleed来提取网站的私钥。这是一场真正利害关系的赌博：如果公司错了，它将被迅速和公开地揭露出来，就像勘误表一样，许多人可能会说这些说法是不负责任的。同时，如果这项研究成立的话，那就意味着心血造成的真正伤害比我们想象的要小得多。现在确定还为时过早，但在经历了残酷的一周之后，这条消息应该会给饱受打击的管理员带来一些希望。

更新时间：美国东部时间4月11日中午12:08:00：更新后确认Apache服务器在第一次请求时泄露了私钥。

更新时间：美国东部时间4月11日晚上9:39:Cloudflare现在声明Heartbleed bug已经成功地用于检索SSL密钥，尽管它之前声称。