Heartbleed und seine Nachwirkungen

Heartbleed bug

Heartbleed war in aller Munde. Und dann? Was ist aus dem vermeintlichen Super-GAU geworden? Am 09.05.2014 veröffentlichte Netcraft aktuelle  Zahlen zu den Nachwirkungen von Heartbleed: 57 % der Betreiber betroffener Webseiten haben keinen Handlungsbedarf aus der Schwachstelle abgeleitet und die Risiken akzeptiert. Weitere 16 % bemühten sich zwar um ein neues Zertifikat, aber nicht um ein neues Schlüsselpaar (öffentlich und geheim).

Auch CosmoKey war mit seinem Produkt CosmoKey VPN  von Heartbleed betroffen. „Noch am selben Tag  haben wir die Aktualisierungen von OpenSSL eingespielt. Die Schlüsselpaare und Zertifikate wurden dann in den folgenden Tagen ersetzt. Da wir CipherSuites mit Forward Secrecy bevorzugen, sollte die frühere Datenkommunikation nicht betroffen sein“ so Christian Tacke, Technischer Leiter von CosmoKey.

Nur an wenigen Stellen wird in diesem Zusammenhang  darĂĽber geredet, wie wichtig „Forward Secrecy“ ist. Ohne Forward Secrecy lässt sich Kommunikation, die in der Vergangenheit stattgefunden hat und aufgezeichnet wurde  (wovon man seit den NSA-EnthĂĽllungen ausgehen muss), mit Hilfe des geheimen SchlĂĽssels entschlĂĽsseln.  Genau  dieser geheime SchlĂĽssel ist ja von Heartbleed  betroffen.  Mit Forward Secrecy kann alte Kommunikation  nicht auf diese Weise entschlĂĽsselt werden.

Und während Heartbleed noch den einen oder anderen Handlungsbedarf auslöst, tauchen schon wieder neue Meldungen auf: Die gebeutelte Kryptobibliothek OpenSSL schließt sieben neue Sicherheitslücken. Bei einer dieser Sicherheitslücken kann durch einen Man-in-the-Middle-Angriff die Verbindung so manipuliert werden, dass der Datenverkehr letztendlich entschlüsselt und beeinflusst werden kann. Betroffen sind die OpenSSL-Versionen 0.9.8, 1.0.0 und 1.0.1. Die Anfang Juni veröffentlichten Updates, die Abhilfe schaffen, können von den Servern des Projekts heruntergeladen werden.

Wer mehr über die SSL/TLS-Konfiguration  einer Webseite und den Zeitpunkt der Zertifikatserneuerung erfahren möchte, kann bei dem kostenlosen Online-Dienst „ Qualys SSL Labs“ einen SSL-Servertest durchführen (für jabber/xmpp-Server ist die entsprechende Webseite https://xmpp.net/). Lautet das Testergebnis „A-“ (oder schlechter), dann offenbart das Probleme. Wer sich für einen korrekten Umgang mit Heartbleed interessiert, findet beim DFN konkrete Hinweise.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>