Neuausstellung der SSL-Zertifikate nach Heartbleed-Bug

Bereits am Dienstag haben wir über den gravierenden OpenSSL-Bug namens „Heartbleed” berichtet und entsprechende Gegenmaßnahmen eingeleitet.

Eine akute Gefahr des Passwort- oder Schlüsseldiebstahls besteht daher seit Dienstag nicht mehr!

Dennoch bleibt ein gewisses Restrisiko was die verwendeten Passwörter und SSL-Zertifikate angeht, da keinerlei Möglichkeit besteht einen evtl. erfolgten Angriff nachzuvollziehen. Auf heise.de findet Ihr eine genaue Erklärung wie der Angriff funktioniert.

Wie geht es nun weiter?

Da die evtl. ausgelesenen Informationen im Zusammenhang mit Sicherheitsfunktionen des Servers stehen, empfehlen wir Euch dringend alle Passwörter zu ändern. Nicht nur bei uns sondern bei eigentlich allen Onlinediensten die Ihr nutzt. – Wir haben in den letzten Tagen bereits mehrfach die Passwörter unserer Server geändert, sicher ist sicher. :)

Was wir noch getan haben?

Darüber hinaus haben wir direkt nach Bekanntwerden der Auswirkungen alle von uns genutzten SSL-Zertifikate (Kundencenter, cPanel, Mail- und FTP-Server) neu generiert (reissue) und auf allen Servern eingebunden. Die zuvor genutzten Zertifikate werden kurzfristig zurückgezogen (revoke). – Damit könnt Ihr der Kommunikation mit unseren Servern und Diensten wieder zu 100% vertrauen, ein evtl. abgegriffener privater Schüssel unserer SSL-Zertifikate ist damit nutzlos geworden. :)

Was Ihr noch tun könnt:

Auch wenn ein Missbrauch evtl. abgegriffener Schlüssel äußerst unwahrscheinlich ist, wird ein Austausch der SSL-Zertifikate von verschiedensten Stellen u.a. dem BSI empfohlen. Wir bieten unseren Kunden daher die kostenlose Neuausstellung der über uns bezogenen Zertifikate an.

Da uns eine solche Aktion, neben dem normalen Tagesgeschäft, vor eine kleine Herausforderung stellt, bitten wir Euch den folgenden Punkteplan zu beachten:

  1. Öffnet ein Support-Ticket im SSL-Zertifikate Bereich mit der / den Domains für die Ihr neue Zertifikate benötigt.  (Login erforderlich!)
  2. Ihr erhaltet kurzfristig weitere Anweisungen zum Ablauf und einen Link mit dessen Hilfe Ihr die Neuausstellung des SSL-Zertifikates (reissue) starten könnt.
  3. Sobald das Zertifikat von der Vergabestelle neu ausgestellt wurde erhalten wir dieses zur Installation auf dem Server.
  4. Unser Support-Team installiert das neue Zertifikat und informiert Euch über den Erfolg.
  5. Ihr könnt nun das alte Zertifikat über den in Punkt 2 erhaltenen Link zurückziehen (revoke).

Wir bemühen uns alle Anfragen zeitnah zu beantworten. Bitten allerdings schon jetzt um euer Verständnis, dass die Bearbeitung einige Tage in Anspruch nehmen wird.

Muss ich mein Zertifikat neu ausstellen lassen?

Nein, nicht zwangsläufig da durch Einsatz der sicheren OpenSSL-Version ein Abgreifen der Informationen zuverlässig verhindert wird! Wird das Zertifikat nicht erneuert, besteht die „Gefahr“ eines „Man-in-the-Middle“ Angriffs bei dem mitgeschnittener Datenverkehr entschlüsselt werden kann. Dies ist allerdings nicht ohne Weiteres möglich. – Nebenbei bemerkt haben einige Banken und große Konzerne heute noch nicht einmal die Lücken gepatcht, geschweige denn die Zertifikate erneuert. ;)

CVE-2014-0160 (Heartbleed) auf allen rack::SPEED Servern gepatcht!

Die heute bekannt gewordene OpenSSL Sicherheitslücke „Heartbleed“ (CVE-2014-0160) wurde auf allen rack::SPEED Servern gepatcht. Das Problem betrifft nicht nur unsere Server, es ist sehr weit verbreitet und betrifft weltweit verschiedenste Computer- / Betriebssysteme.

Eine ausführliche Beschreibung der Sicherheitslücke und der möglichen Auswirkungen findet Ihr auf heise.de.

Die vom OpenSSL-Team bereitgestellten Updates wurden ohne Auswirkungen auf die Server und deren Betrieb eingespielt. Dennoch mussten alle gegen OpenSSL gelinkten Dienste neugestartet werden um das Sicherheitsupdate sofort zu „aktivieren“. Aufgrund der Neustarts der betroffenen Dienste (Apache, SSH, cPanel, Mail, usw) gab es ganz kurze Serviceunterbrechungen.

Wir bitten evtl. beobachtete kurze Aussetzer zu entschuldigen. Unter Berücksichtigung der Auswirkungen haben wir uns für Dienstneustarts am Tag, und nicht wie sonst üblich in der Nacht, entschieden.

Teilweise Störung der Erreichbarkeit aus dem Netz der Deutschen Telekom

Wir beobachten derzeit vereinzelt Probleme bei unserer Erreichbarkeit aus dem Netz der Deutschen Telekom heraus. Unseren Untersucherungen nach liegt die Ursache dafür aber im Netz der Deutschen Telekom selbst. Wir haben zwar grundsätzlich Einfluss darauf, über welche Wege die Verbindung zwischen unserem Netz und dem der Telekom hergestellt wird, aber keinerlei Einfluss auf die Routen im Telekom-Netz selbst.

Wir können mit Sicherheit sagen, dass unsere Übergabe in das Netz der Deutschen Telekom einwandfrei und ohne Einschränkung funktioniert. Anhand von, durch Kunden zugesandte, Traceroutes konnten wir fest stellen, dass ein bestimmter Router der Telekom selbst anscheinend ursächlich für die beobachteten Probleme ist.

Gerne können Sie uns Ihre IP-Adresse und die Ausgabe eines Traceroute (unter Windows: Start -> Ausführen -> cmd [ENTER] und dann trauert rackspeed.de [ENTER]) übersenden. Parallel dazu wenden Sie sich bitte an Ihren Kundensupport bei der Deutschen Telekom oder Congstar.

Ihr rack::SPEED Support

Magento Datenbank Optimierung – Teil 2

Nachdem wir in der letzten Woche (Magento Datenbank Optimierung – Teil 1) die Grundlagen für einen schnellen Magento-Shop geschaffen haben zeigen wir Euch heute weitere Möglichkeiten der Optimierung.

In einem aktuellen Projekt (ca. 50.000 Besuchern, 700.000 Seitenaufrufen und knapp 1000 Checkouts pro Tag) konnten wir durch Deaktivierung der Log-Funktionen 1 – 1,5 CPU-Kerne auf dem Datenbankserver einsparen. 

Die Änderungen aus Teil 1 sorgen für eine aufgeräumte Datenbank, allerdings loggt Magento nach wie vor jeden Zugriff in den entsprechenden Tabellen und löscht diese nach einigen Tagen wieder. Beide Vorgänge verbrauchen CPU-Ressourcen die wir sinnvoller einsetzen können, daher deaktivieren wir die Log-Funktionen heute komplett.

Deaktivierung über das Backend – Lösung mit Hindernis

Magento bietet Out-of-the-Box einige Möglichkeiten die Log-Funktionen zu deaktivieren. Am einfachsten ist es das Magento Backend zu benutzen:

System -> Konfiguration -> Erweitert -> Modulausgaben

Hier setzt Ihr Mage_Log auf Deaktivieren.

Die Deaktivierung über das Backend hat einen entscheidenden Nachteil: Es werden alle internen Log-Funktionen deaktiviert, somit funktionieren die Entwickler- und Extension-Logs auch nicht mehr.

MySQL Storage Engine BLACKHOLE – Das schwarze Datenloch!

Technisch etwas anspruchsvoller aber eleganter ist die Änderung der MySQL Storage Engine der Log-Tabellen auf BLACKHOLE. BLACKHOLE ist wie der Name schon sagt ein schwarzes Loch, allerdings nur in digitaler Form und wird daher “nur” Euren Daten gefährlich.

ALTER TABLE log_url ENGINE = BLACKHOLE;
ALTER TABLE log_url_info ENGINE = BLACKHOLE;
ALTER TABLE log_visitor ENGINE = BLACKHOLE;
ALTER TABLE log_visitor_info ENGINE = BLACKHOLE;

Das oben gezeigte Query müsst Ihr direkt auf der MySQL-CLI oder mit Hilfe von phpMyAdmin über den Reiter “SQL” abfeuern. – Achtet unbedingt auf die richtige Datenbank Auswahl und die korrekten Tabellennamen im SQL-Query!!!

Sobald das SQL-Query ausgeführt wurde sind die Log-Tabellen leer und sämtliche neu zu schreibende Log-Daten werden sofort verworfen.

Die BLACKHOLE-Lösung hat einen entscheidenden Vorteil gegenüber der Backend-Lösung da aus Magento-Sicht nach wie vor alle Log-Funktionen aktiv sind. Die Entwickler- und Extension-Logs könnt Ihr nutzen, an die Log-Tabellen gesendete Daten werden allerdings nicht verarbeitet und verschwinden direkt in unserem schwarzen Loch. Ganz ohne die CPU oder unsere Speichermedien zu belasten! :D

In der nächsten Folge (Magento Datenbank Optimierung – Teil 3) zeigen wir Euch zwei kleine aber sehr wirkungsvolle SQL-Querys zur Optimierung der Magento Datenbank.

Magento Datenbank Optimierung – Teil 1

Immer wieder werden wir, in Beratungsgesprächen zu unserem Magento Hosting und der täglichen Arbeit im Support, nach der optimalen Konfiguration eines Magento-Shops gefragt.

Unser Wissen möchten wir gerne weitergeben, deshalb findet Ihr ab heute in der Kategorieliste rechts den Punkt Performance. In unregelmäßigen Abständen werden wir hier kurze Beiträge mit leistungssteigernden Maßnahmen vorstellen.

Starten werden wir heute mit einem der häufigsten Gründe für einen langsamen Magento-Shop und Backup-Probleme, die immer größer werdenden Log-Tabellen.

Nach der Installation loggt Magento jeden Zugriff auf eine beliebige Seite in der Datenbank. Die Daten können später dazu genutzt werden Statistiken oder andere Auswertungen zu erstellen, in der Regel werden diese Daten allerdings nie benötigt da externe Dienste wie Google Analytics zum Einsatz kommen.

Der Cronjob – ohne ihn geht nichts

Grundlegend für die fehlerfreie Funktion von Magento ist die Einrichtung des Cronjobs. Die Aufgabe eines Cronjobs ist es in regelmäßigen Abständen bestimmte Aufgaben zu erledigen, welche das im Detail sind könnt Ihr im Magento Wiki nachsehen. Neben den Standardaufgaben wie Newsletterversand, Index- und Sitemaperstellung führt das Script auch diverse Wartungsarbeiten aus. Wie Ihr einen Cronjob einrichtet erfahrt Ihr im Kundencenter.

Auf die richtigen Einstellungen kommt es an!

Nachdem der Cronjob eingerichtet wurde müssen wir noch einige Einstellungen im Magento Backend vornehmen. Das Menü zur Konfiguration der Log-Bereinigung findet Ihr unter:

System > Konfiguration > Erweitert > System > Log Bereinigung

Da der Vorgang je nach Datenmenge sehr viele Ressourcen beanspruchen kann sollte die Bereinigung in der Nacht erfolgen. Die Anzahl der Tage kann beliebig konfiguriert werden. – Je kürzer desto besser! :)

Magento Log Bereinigung

Einstellungen der Log-Bereinigung in Magento

Sobald der Cronjob eingerichtet und die Einstellungen vorgenommen wurden ist alles korrekt konfiguriert, in der folgenden Nacht startet der Job pünktlich seine Arbeit und räumt Eure Magento Datenbank gründlich auf.

In der nächsten Folge (Magento Datenbank Optimierung – Teil 2) erklären wir die komplette Deaktivierung der Log-Funktion und zeigen euch wie ihr die Datenbank weiter aufräumen könnt.

Ein Ausblick auf das Jahr 2014

Das Jahr 2013 begann für uns mit dem Relaunch unserer Website, kurz darauf folgten die neuen SSD-Hosting Tarife mit Saison-Turbo und im Sommer die neue Basis unserer HA-Storage Infrastruktur der Firma NetApp. – Dank unserer Kunden und dem überwältigenden positiven Feedback blicken wir auf ein sehr erfolgreiches Jahr 2013 zurück.

Unter Berücksichtigung eures Feedbacks haben wir uns für 2014 wieder einige spannende Projekte vorgenommen die wir euch kurz vorstellen möchten:

Beginnen werden wir das Jahr mit der Anpassung der Traffic-Kontingente für alle Kunden! Noch in dieser Woche werden alle Accounts und das Abrechnungssystem wie folgt umgestellt: Managed-Hosting, LiteSpeed-Hosting und SSD-Hosting Kunden erhalten ab sofort eine Traffic-Flatrate, für unsere Cloud-Server Kunden heben wir die Traffic-Kontingente auf ein Vielfaches an. – Mit dieser Aktion möchten wir uns, vor allem bei unseren Bestandskunden, für die lange und treue Zusammenarbeit bedanken.

In Q1 / 2014 werden wir unsere neue VMware Plattform für unsere Cloud-Server aufbauen. In der ersten Aufbaustufe wird die Plattform über 100 CPU-Kerne und über 500 GB Arbeitsspeicher erhalten, als CPU setzen wir hierbei auf die neuste Intel XEON-Generation der 2600er Serie. – Der Ausbau auf über 1 TB Arbeitsspeicher ist bereits geplant und kann bei Bedarf kurzfristig umgesetzt werden. :)

Das Thema Telefon-Support und telefonische Erreichbarkeit haben wir uns für Q2 / 2014 vorgenommen, genauere Infos zu den Änderungen folgen in Kürze.

In Q3 / 2014 werden wir euch neue High-Performance Lösungen für stark frequentierte Shops vorstellen. Diese lassen sich bei Bedarf auf Basis von Varnish und Nginx problemlos skalieren, erweitern oder „clustern“.

Die Einführung des Reseller-Hosting für Webentwickler und Agenturen steht ebenfalls, aber noch ohne Termin, auf unserer 2DO-Liste.

Zu guter Letzt möchten wir euch kurz 2 neue Mitarbeiter des Support-Teams vorstellen,
Mehmet Top und Alexander Wichert verstärken ab sofort unser Support-Team und helfen euch bei euren Fragen. – Herzlich Willkommen!

Wir freuen uns auf ein richtig spannendes Jahr mit euch. Wie immer werden wir unser Bestes geben euch das schnellste Hosting und großartigen Support zu präsentieren.

Frohe Weihnachten und einen guten Rutsch!

Wir wünschen Ihnen und Ihrer Familie ein frohes Weihnachtsfest, erholsame Feiertage und einen guten Rutsch ins Jahr 2014!

Gleichzeitig möchten wir Sie darüber informieren, dass wir während der Feiertage nur eingeschränkten Support leisten können. Freitag (27.12.) und Montag (30.12.) erreichen Sie uns wie gewohnt von 08:00 bis 18:00 Uhr. – Im Notfall erreichen Sie uns an den Feiertagen über das Kundencenter (http://rackspeed.de/go/support) und unter der Rufnummer: 0900-1-rackspeed (0900-1-722577333) (0,99€ / Min. aus dem deutschen Festnetz).

Kritische Magento Sicherheitslücke – Patch erforderlich!

Am 11.12.2013 wurde im Magento Core eine schwerwiegende Sicherheitslücke entdeckt. Die Lücke erlaubt es einem Angreifer Zugriff auf die gesamte Magento Instanz inkl. Datenbank zu erhalten.

Betroffen sind alle Magento Versionen von 1.4.0.0 bis 1.7.0.2! – Die letzte aktuelle Version 1.8.0.0 ist nicht betroffen.

Wir raten daher allen Kunden schnellstmöglich den bereitgestellten Patch, passend zur eingesetzen Magento-Version, einzuspielen!

Einspielen des Magento-Patches per SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Upload des Patches in den Ordner public_html
  3. sh PATCH-DATEINAME.sh
  4. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Einspielen des Patches ohne SSH:

  1. Download des passenden Patches von Magentocommerce.com (ganz unten)
  2. Öffnen des Patches im Texteditor
  3. Öffnen der Datei app/code/core/Mage/Cms/Helper/Wysiwyg/Images.php auf dem Server
  4. Einspielen des Patches
    1. Nach “public function getCurrentPath()” (ohne “”) in der Datei Images.php auf dem Server suchen
    2. Manuelles Anwenden des Patches: Zeilen im Patch mit einem Minus (-) werden entfernt, Zeilen mit einem Plus (+) ergänzt
  5. Alle Caches leeren um die Änderungen zu übernehmen: System > Cache Management

Das Entwicklerteam empfiehlt die Änderungen vorher in einer Testumgebung zu prüfen!

rack::SPEED Kunden können jederzeit die Unterstützung unseres Support-Teams in Anspruch nehmen.

rack::SPEED ist CertCenter Gold Partner

CertCenter Gold PartnerCertCenter wurde als erster Anbieter außerhalb der USA kürzlich mit dem höchsten Partner-Status “Specialist Partner” des US-amerikanischen Sicherheitskonzerns Symantec ausgezeichnet. Neben einer breiten Auswahl der besten SSL-Zertifikate und Sicherheitslösungen haben wir einen direkten (deutschen) Ansprechpartner.

Die enge Zusammenarbeit mit CertCenter erlaubt es uns noch schneller das passende SSL-Zertifikat auszustellen. Für zusätzliche Sicherheit und Vertrauen sorgen Zusatzleistungen wie wöchentliche Malware-Scans und Trust-Logos die wir in den nächsten Wochen noch genauer vorstellen werden.

Ein direkter Vorteil für unsere Kunden sind die günstigeren Preise für SSL-Zertifikate. So konnten wir den Preis einzelner Zertifikate um bis zu 35% reduzieren. Bestandskunden erhalten die neuen Preise automatisch mit der nächsten Zertifikatsverlängerung. :)

US-CERT warnt vor kritischer Joomla-Lücke

Das US-CERT hat eine Warnung zu einer kritischen Sicherheitslücke im Joomla CMS veröffentlicht. Bei einer nicht ganz aktuellen Versionen können Angreifer demnach über den Joomla Media Manager aktive Inhalte wie eine PHP-Shell hochladen und anschließend ausführen. Das gibt den Angreifern weitgehende Kontrolle über den Server und die im Account gespeicherten Daten und Datenbanken.

Betroffen sind die Joomla-Versionen bis 2.5.13 bzw. 3.1.4. Da bereits ein Metasploit-Modul verfügbar ist, das den Angriff ohne Fachkenntnis ermöglicht, sollte das Update schnellstmöglich eingespielt werden.