Artikel weiterleiten
Druckansicht

Sicherheitslücke bei der Verschlüsselung von OpenSSL (Heartbleed)

Wie Sie sicherlich schon aus den Medien erfahren haben, gibt es eine schwere Sicherheitslücke bei der Verschlüsselung von OpenSSL. Bei der Schwachstelle namens „Heartbleed“ handelt es sich um einen Fehler in der Open-Source-Software „OpenSSL“: Er besteht im Code für die sogenannte Heartbeat-Erweiterung von TLS, die vor zwei Jahren in OpenSSL 1.0.1 eingeführt wurde. Durch den Fehler können Passwörter, Namen oder private Keys aus dem Arbeitsspeicher ausgelesen und verschlüsselter Datenverkehr entschlüsselt werden. Eine sichere Verschlüsselung ist nicht mehr gewährleistet.

Auch wenn es sich bei Heartbleed nicht um einen Fehler bei STRATO oder den von STRATO angebotenen Zertifikaten handelt, könnte Ihr STRATO Server betroffen sein. Wir empfehlen Ihnen deshalb aus Sicherheitsgründen, diesen Sicherheitshinweis genau zu lesen und die darin enthaltenen Schritte durchzuführen. Bitte beachten Sie: Als Kunde eines STRATO Managed Servers sind Sie nicht von Heartblead betroffen: STRATO Managed Server sind wegen spezieller Konfigurationen nicht für diese Sicherheitslücke anfällig.

Von der Sicherheitslücke betroffen sind vor allem Betreiber von Linux-und Windows-Servern, die SSL zur Verschlüsselung einsetzen – unabhängig davon, ob es sich um Web-Server, Server für E-Mail, VPN, Jabber oder andere Dienste handelt.
 

Wie kann ich überprüfen ob mein System betroffen ist?

Auf der Seite http://possible.lv/tools/hb/ können Sie einen "Heartbleed-Test" durchführen, um zu überprüfen, ob Ihr System betroffen ist.
 

Welche Schritte kann ich unternehmen um die Sicherheitslücke auf meinem System zu schliessen?

 
Außerdem steht unter https://www.openssl.org/ bereits die aktuelle Version OpenSSL 1.0.1g bereit. Wir empfehlen Ihnen dringend folgende Maßnahmen:

1. Spielen Sie umgehend verfügbare Sicherheitsupdates Ihrer Linux-Distributionen für OpenSSL 1.0.1 ein, (auf 1.0.1.g) oder laden sie die neueste OpenSSL-Version herunter und kompilieren Sie OpenSSL manuell

2. Tauschen Sie alle Zertifikate (Webserver, E-Mail Server, OpenVPN) einschließlich der Serverkeys aus
 
3. Ändern Sie User-Passwörter, sofern das möglich ist, oder fordern Sie User auf dem System dazu auf
 

Kann ich mein SSL-Zertifikat weiterhin benutzen?

Sofern Sie auf Ihrem Server ein STRATO SSL-Zertifikat über Ihren STRATO Kunden-Login bestellt und auf Ihrem Server installiert haben, bietet Ihnen STRATO selbstverständlich die Möglichkeit, dieses Zertifikat kostenlos zu aktualisieren („reissue“).

Bestellte Zertifikate werden Ihnen in der SSL-Verwaltung unter dem Menüpunkt „EasySSL“ angezeigt.  Klicken Sie anschließend bei dem Zertifikat auf den Button „Korrektur“, um das Zertifikat zu aktualisieren. Hierzu muss ein aktuelles CSR eingeliefert werden. Bitte generieren Sie dazu auf Ihrem Root Server ein neues CSR, nachdem zuvor der Serverkey neu erstellt wurde.

Wichtig: Bitte achten Sie bei der Generierung des CSR unbedingt darauf, dass inhaltlich alle Daten dem ursprünglichen CSR entsprechen (Domainname, Kontaktdaten etc.). Sollten die Daten abweichend sein, wird eine Aktualisierung des Zertifikats verzögert oder sogar verhindert.
 

Woher weiß ich, welche Daten in meinem CSR stehen müssen?

Unser Partner Symantec bietet Ihnen unter folgenden URLs die Möglichkeit, Ihre Zertifikatsinformationen abzufragen:
Thawte: https://products.thawte.com/orders/orderinformation/authentication.do
Geotrust/RapidSSL: https://products.geotrust.com/orders/orderinformation/authentication.do
VeriSign: https://products.verisign.com/orders/orderinformation/authentication.do

Wählen Sie – entsprechend Ihres Zertifikats – die URL aus und führen Sie auf der Seite die Benutzerauthentifizierung durch. Anschließend erhalten Sie eine E-Mail mit einem Authentifizierungslink zum Benutzerportal. Sie sehen nun die Daten, die in Ihrem Zertifikat eingetragen sind.
 
Weiterführende Informationen zu diesem Thema:
http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html
http://www.heise.de/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
http://www.heise.de/security/meldung/OpenVPN-schliesst-Heartbleed-Sicherheitsluecke-auf-Windows-Installationen-2167844.html
 

Sichere Website mit SSL!

Sichern Sie hier Ihre Website durch die Verwendung von SSL.

SSL verwenden

War dieser Artikel hilfreich?    Ja / Nein