Update nach SSL-Bug

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von darkness_08, 10. Apr. 2014.

  1. darkness_08

    darkness_08 Member

    Hallo Zusammen,

    ich habe eine Verständnisfrage. Nach dem SSL-Bug habe ich meine neuen Zertifikate für Apache installiert. So weit verstehe ich auch alles.

    Aber für Postfix usw sollte ich dann auch neue SSL-Keys erzeugen, oder? Und auch für ISP-Config?

    Btw. Kann es sein, dass hier ein bisschen sehr dramatisiert wird? Ja, es kann Speicherinhalt ausgelesen werden. Aber nur ein bestimmter Teil. Und wenn ich pech habe, stehen dort Keys und Passwörter.

    Oder kann ich den gesamten Speicher auslesen?
     
  2. Till

    Till Administrator

    ja.

    Nein. Nur der Speicher des openssl prozesses. Aber gerade der enthält ja meist sensible Daten.
     
  3. darkness_08

    darkness_08 Member

    ok, danke.
     
  4. nowayback

    nowayback Well-Known Member

    Hi,

    hier geht es tatsächlich nicht um Dramatisierung. Die Keys konnten ausgelesen werden.
    Wenn jemand kein PFS (Perfect Forward Secrecy) einsetzt bzw. eingesetzt hat, und dessen Keys entwendet wurden, so kann der Angreifer nun auch den kompletten vorhergehenden aufgezeichneten Datenstrom entschlüsseln - um es mal einfach auszudrücken.
    Daran ändert es jetzt auch nichts wenn man sich nun neue Zertifikate erstellt.
    Die neuen Zertifikate bringen erst ab dem Zeitpunkt der Erstellung was: nämlich das der Angreifer den aktuellen Datenstrom nicht mehr entschlüsseln kann. Deshalb sollten vorsorglich alle Keys ausgetauscht werden.
    Bei den meisten CA's geht das kostenlos. Bei StartSSL jedoch nicht, soweit ich weiß.
    Und wenn ich es richtig in Erinnerung habe, habe ich heute oder gestern gelesen das ein Admin schon im November letztes Jahr Hinweise in seinen Logs gefunden hat, die auf den Heartbleed Angriff deuten. Daher kann man auch nicht sagen wie lange er schon ausgenutzt wird.

    Edit: Gerade reingekommen: http://www.heise.de/newsticker/meld...ktioniert-der-Heartbleed-Exploit-2168051.html mit Verweis auf: http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html

    Hoffe ich konnte dir bissl helfen

    Grüße
    nwb
     
    Zuletzt bearbeitet: 10. Apr. 2014

Diese Seite empfehlen