[Eisfair] Selbst signiertes Serverzertifikat auch betroffen?

Olaf Jaehrling mail2 at ojaehrling.de
Mi Apr 9 22:21:52 CEST 2014


Hallo Alex,

--- Original-Nachricht ---
Absender: Alex Busam
Datum: 09.04.2014 21:43
> Die Frage kann ich mir fast selbst beantworten:
> Mit der Version 2.2.4 ist laut http://filippo.io/Heartbleed/ alles
> wieder dicht. Aber erst nach einem Neustart des Apache! Zur Sicherheit
> hab ich jetzt den Server komplett neu gestartet, damit u.a. auch der
> Mailserver die neue libssl verwendet.
> 
> Die Vorgehensweise im Thread SSL Mail Telekom hat mich verunsichert, da
> dort das Neuerstellen als notwendig erachtet wird.

Naja, so einfach ist es dann doch leider nicht. Wenn dein Server vorher
schon angegriffen wurde kann es durchaus möglich sein, dass Passwörter
abgegriffen wurden oder auch mitgeschnittener Traffic im Nachhinein
entschlüsselt wird. Siehe dazu auch
https://www.schneier.com/blog/archives/2014/04/heartbleed.html

oder den Beitrag bei Heise:
http://heise.de/-2165517

Theoretisch wäre es am sichersten alle Zertifikate (incl. CA) mit der
neuen libssl neu zu erstellen. Dabei muss man halt abwägen, wie hoch man
das Risiko einschätzt dass der eigene Server schon angegriffen wurde.
<Zitat (C. Schulz)>
Also: Wie wahrscheinlich ist es, dass
(1) jemand mit krimineller Energie von dem Fehler wesentlich früher wusste,
(2) entsprechenden Code schrieb, der den Fehler ausnutzt, und
(3) diesen Code auf ...den Server ... anwandte?
</Zitat-Ende>

Gruß

Olaf





Mehr Informationen über die Mailingliste Eisfair