Hallo zusammen,
die meisten werden von der aktuellen (und leider berechtigten) Hysterie rund um den CVE-2014-0160 in openssl erfahren haben. Falls nicht gibt es mehr als genügend Lektüre z.B. bei heise oder golem.
Wie fast alle Dienste nutzen wir auch hier openssl zur Verschlüsselung und sind somit auch betroffen gewesen. Man sollte davon ausgehen, dass nun sämtliche Kommunikation mit dem Server öffentlich ist. Dazu zählen hier beispielsweise eingegeben Passwörter. Wichtig zu bemerken ist, dass es keinen Zugriff auf Datenbanken oder dergleichen gab, sondern die Kommunikation zwischen Client und Server abgefangen werden konnte.
Daher sollte jeder unbedingt seine Passwörter ändern; und zwar nicht nur hier, sondern auf sämtlichen Seiten. Betroffen sind nicht nur HTTPS, sondern auch IMAP, SMTP, XMMP, IRC und alle anderen Dienste die auf TLS setzen.
Als allererste Maßnahme wurde von meiner Seite aus natürlich ein aktuelles openssl-Paket bereitgestellt und eingespielt. Außerdem werde ich die ein oder anderen Zugangsdaten sicherheitshalber ändern. Leider müssen wir auch neue SSL-Zertifiakte ausstellen und die aktuellen zurückziehen. Die hierzu nötige Verifizierung habe ich heute schon durchgeführt; Revocation Requests sind raus. Leider kann ich noch keine neue Zertifizierung beantragen, bis das nicht durch ist. Damit sind übrigens Kosten von 60$ +25$ pro Zertifikat verbunden.
Für weitere Fragen stehe ich gerne zur Verfügung.
die meisten werden von der aktuellen (und leider berechtigten) Hysterie rund um den CVE-2014-0160 in openssl erfahren haben. Falls nicht gibt es mehr als genügend Lektüre z.B. bei heise oder golem.
Wie fast alle Dienste nutzen wir auch hier openssl zur Verschlüsselung und sind somit auch betroffen gewesen. Man sollte davon ausgehen, dass nun sämtliche Kommunikation mit dem Server öffentlich ist. Dazu zählen hier beispielsweise eingegeben Passwörter. Wichtig zu bemerken ist, dass es keinen Zugriff auf Datenbanken oder dergleichen gab, sondern die Kommunikation zwischen Client und Server abgefangen werden konnte.
Daher sollte jeder unbedingt seine Passwörter ändern; und zwar nicht nur hier, sondern auf sämtlichen Seiten. Betroffen sind nicht nur HTTPS, sondern auch IMAP, SMTP, XMMP, IRC und alle anderen Dienste die auf TLS setzen.
Als allererste Maßnahme wurde von meiner Seite aus natürlich ein aktuelles openssl-Paket bereitgestellt und eingespielt. Außerdem werde ich die ein oder anderen Zugangsdaten sicherheitshalber ändern. Leider müssen wir auch neue SSL-Zertifiakte ausstellen und die aktuellen zurückziehen. Die hierzu nötige Verifizierung habe ich heute schon durchgeführt; Revocation Requests sind raus. Leider kann ich noch keine neue Zertifizierung beantragen, bis das nicht durch ist. Damit sind übrigens Kosten von 60$ +25$ pro Zertifikat verbunden.
Für weitere Fragen stehe ich gerne zur Verfügung.
