Wenn sogar die Mainstream-Medien über einen Bug berichten, muss es etwas Ernstes sein. Dieses Mal hat es OpenSSL erwischt. OpenSSL ist der Standard für SSL und wird auf den meisten im Web erreichbaren Servern eingesetzt, doch was hat es mit diesem Bug auf sich? Ab Version 1.01 ist möglich, mit einem manipulierten Paket das private TLS-(SSLv3)-Zertifikat eines Servers zu extrahieren. Ist dies einmal gelungen, wäre alle Verschlüsselung mit eben diesem Zertifikat hinfällig. Der Server-Datenverkehr würde von jeder Person, die sich das private Zertifikat des Servers angeeignet hat, mitgelesen werden können.
Wie sind wir mit dem Problem umgegangen?
Da OpenSSL sehr schnell reagierte und mit Version 1.0.1g eine Version ohne Bug veröffentlichte, haben wir umgehend alle Server, für die wir Servermanagement erbringen, gepatcht. Jetzt haben wir begonnen, alle Zertifikate auszutauschen, um alle durch den OpenSSL-Bug möglicherweise korrumpierten privaten Schlüssel zu wechseln.
Empfehlungen für Kunden
Solltest Du zu unseren Kunden ohne Servermanagement gehören, so empfehlen wir, dass Du Deinen Server auf den neusten Stand patchst und am besten neue Zertifikate nutzst. Betroffen sind die Betriebssysteme Ubuntu 12 und Debian 7. Jeder, der ganz auf Nummer sicher gehen möchte, sollte zudem seine Passwörter zu allen SSL-verschlüsselten Seiten ändern. Nur für den Fall, dass diese mitgelesen wurden. Hast Du auf unsere Verwaltungsseiten mit einem aktuellen Browser (außer IE) zugegriffen, musst Du Dir keine Sorgen machen, da unsere Seiten nahezu alls PFS unterstützen.
Fazit
PFS – Perfect Forward Secrecy ist für Verschlüsselung das Mittel der Wahl. Durch ständig sich neu generierende Schlüssel und einen Sitzungsschlüssel-Austausch nach dem Diffie-Hellman-Verfahren hat diese Verschlüsselung unsere Server-Kommunikation auch für die kurze Zeit des OpenSSL-Bugs bestmöglich abgesichert. Alle Browser bis auf den Internet Explorer präferieren PFS vor SSL und stellen somit automatisch eine Verbindung mit PFS her, falls der Server dies unterstützt. Vereinfacht kann man sagen:
PFS ist Dein Freund
Dieser Bug zeigt mal wieder, dass Sicherheit nicht ein Problem der Anbieter ist. Auch Anwender können etwas für ihre Sicherheit tun. In diesem Fall hätte es zum Beispiel gereicht, wenn User aktuelle, sichere Brower nutzen, um weiterhin sicher mit vielen Anbietern zu kommunizieren. Wenn Du Dir nicht sicher bist, ob eine (oder Deine) Seite sicher ist, kannst Du das hier testen.
Update 10.04.2014 – Zertifikat tausch für HKN Kunden
Unsere Empfehlung nach dem Open SSL Bug ist es, die Zertifikate zu tauschen. Betroffene Kunden können dies selbst tun. Über die URL https://products.geotrust.com/orders/orderinformation/authentication.do
kann sich der Administrator des Kunden anmelden und dort eine Neuausgabe des Zertifikats initiieren. Hierzu kann er nach einer Mailauthentifizierung ein neues CSR hochladen und erhält danach eine
neues Zertifikat. Damit können Kunden, die Ihre Zertifikate selbst verwalten ohne Zutun von uns erneuerte Zertifikate erhalten.
Für HKN Kunden mit Business und Wildcard Zertifikaten ist dieser Vorgang kostenlos.
1 Gedanke zu „Heartbleed – Open SSL Bug“