Heartbleed SSL Bug
In der viel benutzten SSL Library OpenSSL 1.0.1f war seit 2 Jahren ein Programmierfehler, welcher es erlaubt auf einem SSL Server 64kbyte aus dem Speicher auszulesen. Die Daten konnten User und Passwörter enthalten oder, in seltenen Fällen, den Private Key des Servers.
Wie schützt man sich:
– OpenSSL aktualisieren (z.B. yum update openssl)
– Alle Services, welche OpenSSL verwenden, neu starten
– Altes Zertifikat zurück ziehen lassen (das alte Zertifikat muss auf die CRL, Certificate Revocation List damit der Browser es nicht mehr akzeptiert)
– Neues Zertifikat anfordern mit neuem Private Key (Einige Anbieter wie Verisign machen die kostenlos)
– PFS Forward Secrecy aktivieren (ansonsten könnten alte, aufgezeichnete SSL Daten weiterverwendet werden)
Viele sichere Seiten waren anfällig und haben die Schritte befolgt. Leider habe auch einige nur die ersten zwei Schritte ausgeführt. Dies schützt zwar vor neuem Auslesen des Speichers. Wenn aber jemand den Private-Key ausgelesen hat, kann er mit einer Phishing Seite immer noch Schaden anrichten.
—
Alle Windows Server mit IIS sind nicht betroffen, da Microsoft eine eigene SSL Implementierung (SChannel) benutzt und nie auf OpenSSL zurück griff.
—
Gute Infos zum Heartbleed Bug auch auf: http://www.golem.de/news/openssl-wichtige-fragen-und-antworten-zu-heartbleed-1404-105740.html
—
Dies ist allerdings nicht die erste Lücke im ganzen SSL Prozess. Deshalb sollten alte Protokolle und Ciphers deaktiviert werden.
SSL Labs hat eine Testseite für Server eingerichtet. https://www.ssllabs.com/ssltest/analyze.html
Hier sollten einfache SSL Seiten auf ein „A-“ kommen. Shops, Kreditkartentransaktionen und Banking-Seiten sollten sicher mit „A“ bewertet werden.
Eine sehr gute Anleitung wie man dies unser Windows Server 2008 R2 macht findet sich hier: http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
—
Mehr Infos zu SSL/TLS: http://www.msxfaq.de/signcrypt/tlssecurity.htm
