Du bist nicht angemeldet.

#1 10.04.2014 19:20:17

Pierre
Entwickler

OpenSSL-Heartbleed-Bug und archlinux.de

Hallo zusammen,

die meisten werden von der aktuellen (und leider berechtigten) Hysterie rund um den CVE-2014-0160 in openssl erfahren haben. Falls nicht gibt es mehr als genügend Lektüre z.B. bei heise oder golem.

Wie fast alle Dienste nutzen wir auch hier openssl zur Verschlüsselung und sind somit auch betroffen gewesen. Man sollte davon ausgehen, dass nun sämtliche Kommunikation mit dem Server öffentlich ist. Dazu zählen hier beispielsweise eingegeben Passwörter.  Wichtig zu bemerken ist, dass es keinen Zugriff auf Datenbanken oder dergleichen gab, sondern die Kommunikation zwischen Client und Server abgefangen werden konnte.

Daher sollte jeder unbedingt seine Passwörter ändern; und zwar nicht nur hier, sondern auf sämtlichen Seiten. Betroffen sind nicht nur HTTPS, sondern auch IMAP, SMTP, XMMP, IRC und alle anderen Dienste die auf TLS setzen.

Als allererste Maßnahme wurde von meiner Seite aus natürlich ein aktuelles openssl-Paket bereitgestellt und eingespielt. Außerdem werde ich die ein oder anderen Zugangsdaten sicherheitshalber ändern. Leider müssen wir auch neue SSL-Zertifiakte ausstellen und die aktuellen zurückziehen. Die hierzu nötige Verifizierung habe ich heute schon durchgeführt; Revocation Requests sind raus. Leider kann ich noch keine neue Zertifizierung beantragen, bis das nicht durch ist. Damit sind übrigens Kosten von 60$ +25$ pro Zertifikat verbunden.

Für weitere Fragen stehe ich gerne zur Verfügung.

Offline

#2 10.04.2014 23:03:03

sekret
Mitglied

Re: OpenSSL-Heartbleed-Bug und archlinux.de

Sehr krasse Geschichte das alles! Und Ed Snowden meinte noch "Encryption works!". Prinzipiell hat er natürlich Recht, aber da siehst mal, wie schnell es gehen kann...

Werd mich morgen mal hinhocken und alle Passwörter erneuern. Das wird ein Act!!

Danke dir jedenfalls für die schnelle Reaktion!

Offline

#3 10.04.2014 23:10:48

gaslicht
Mitglied

Re: OpenSSL-Heartbleed-Bug und archlinux.de

Danke Pierre.

Pierre schrieb:

Daher sollte jeder unbedingt seine Passwörter ändern; und zwar […] alle[r] […] Dienste die auf TLS setzen.
Als allererste Maßnahme […] ein aktuelles openssl-Paket […] eingespielt. Außerdem […] Zugangsdaten sicherheitshalber ändern. […] neue SSL-Zertifiakte ausstellen und die aktuellen zurückziehen. […] Revocation Requests sind raus. […]

Wow, das klingt als gingest du davon aus das deine CA das auch alles gemacht hat. wink

Nachtrag.
Na den Zertifikat-teil hat StartCom noch nicht geschafft. Komisch dabei können die sich das selbst ausstellen.
Revoke: Stellt man nicht erst neue aus und zeiht die alten zurück sobald die neuen unterschrieben sind?

Beitrag geändert von gaslicht (11.04.2014 08:29:38)

Offline

#4 11.04.2014 14:58:55

Icecube63
Mitglied

Re: OpenSSL-Heartbleed-Bug und archlinux.de

sekret schrieb:

Werd mich morgen mal hinhocken und alle Passwörter erneuern. Das wird ein Act!!

Das macht aber nur Sinn, wenn du sicher bist dass die Gegenstelle das Problem schon gefixt hat. Wenn nicht ist ja auch dein neues Passwort auslesbar. Und da das viele nicht öffentlich machen ist das der eigentliche Act das rauszufinden.

Offline

#5 11.04.2014 15:04:20

sekret
Mitglied

Re: OpenSSL-Heartbleed-Bug und archlinux.de

Ja klar, überprüfe ich mit heartbleed-git ausm AUR.

Offline

#6 11.04.2014 17:17:34

Pierre
Entwickler

Re: OpenSSL-Heartbleed-Bug und archlinux.de

Bisher hat es StartSSL leider nicht geschafft das Zertifikat zu revoken; vorher lassen die mich aber auch kein neues ausstellen.

Offline

#7 11.04.2014 22:13:07

Pierre
Entwickler

Re: OpenSSL-Heartbleed-Bug und archlinux.de

Nach weiterem Nachhaken konnte ich nun die alten Zertifikate zurückziehen, neue beantragen und installieren. :-)

Offline

#8 01.05.2014 09:29:29

Pierre
Entwickler

Re: OpenSSL-Heartbleed-Bug und archlinux.de

Die Kosten belaufen sich insgesamt auf 62,24€. Die Hälfte davon werde ich übernehmen (eingerechnet in den Spenden zu Mai). Davon sind 43,97€ für die Validierung um das neue Zertifikat auszustellen und 18,27€ für das Revoke des alten.

Das Zertifikat ist nun 2 Jahre gültig; sofern kein ähnlicher Bug nochmals auftritt.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums