Heartbleed und seine Nachwirkungen

Heartbleed war in aller Munde. Und dann? Was ist aus dem vermeintlichen Super-GAU geworden? Am 09.05.2014 ver├Âffentlichte Netcraft aktuelle┬á Zahlen zu den Nachwirkungen von Heartbleed: 57 % der Betreiber betroffener Webseiten haben keinen Handlungsbedarf aus der Schwachstelle abgeleitet und die Risiken akzeptiert. Weitere 16 % bem├╝hten sich zwar um ein neues Zertifikat, aber nicht um ein neues Schl├╝sselpaar (├Âffentlich und geheim).

Auch┬áCosmoKey war mit seinem Produkt CosmoKey VPN┬á von Heartbleed betroffen. ÔÇ×Noch am selben Tag┬á haben wir die Aktualisierungen von OpenSSL eingespielt. Die Schl├╝sselpaare und Zertifikate wurden dann in den folgenden Tagen ersetzt. Da wir CipherSuites mit Forward Secrecy bevorzugen, sollte die fr├╝here Datenkommunikation nicht betroffen seinÔÇť so Christian Tacke, Technischer Leiter von CosmoKey.

Nur an wenigen Stellen wird in diesem Zusammenhang┬á dar├╝ber geredet, wie wichtig „Forward Secrecy“ ist. Ohne Forward Secrecy l├Ąsst sich Kommunikation, die in der Vergangenheit stattgefunden hat und aufgezeichnet wurde┬á (wovon man seit den NSA-Enth├╝llungen ausgehen muss), mit Hilfe des geheimen Schl├╝ssels entschl├╝sseln.┬á Genau┬á dieser geheime Schl├╝ssel ist ja von Heartbleed┬á betroffen.┬á Mit Forward Secrecy kann alte Kommunikation┬á nicht auf diese Weise entschl├╝sselt werden.

Und w├Ąhrend Heartbleed noch den einen oder anderen Handlungsbedarf ausl├Âst, tauchen schon wieder neue Meldungen auf: Die gebeutelte Kryptobibliothek OpenSSL schlie├čt sieben neue Sicherheitsl├╝cken. Bei einer dieser Sicherheitsl├╝cken kann durch einen Man-in-the-Middle-Angriff die Verbindung so manipuliert werden, dass der Datenverkehr letztendlich entschl├╝sselt und beeinflusst werden kann. Betroffen sind die OpenSSL-Versionen 0.9.8, 1.0.0 und 1.0.1. Die Anfang Juni ver├Âffentlichten Updates, die Abhilfe schaffen, k├Ânnen von den Servern des Projekts heruntergeladen werden.

Wer mehr ├╝ber die SSL/TLS-Konfiguration┬á einer Webseite und den Zeitpunkt der Zertifikatserneuerung erfahren m├Âchte, kann bei dem kostenlosen Online-Dienst ÔÇ× Qualys SSL LabsÔÇť einen SSL-Servertest durchf├╝hren (f├╝r jabber/xmpp-Server ist die entsprechende Webseite https://xmpp.net/). Lautet das Testergebnis ÔÇ×A-ÔÇť (oder schlechter), dann offenbart das Probleme. Wer sich f├╝r einen korrekten Umgang mit Heartbleed interessiert, findet beim DFN konkrete Hinweise.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie k├Ânnen dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

´╗┐