Bereits am Dienstag haben wir über den gravierenden OpenSSL-Bug namens „Heartbleed“ berichtet und entsprechende Gegenmaßnahmen eingeleitet.
Eine akute Gefahr des Passwort- oder Schlüsseldiebstahls besteht daher seit Dienstag nicht mehr!
Dennoch bleibt ein gewisses Restrisiko was die verwendeten Passwörter und SSL-Zertifikate angeht, da keinerlei Möglichkeit besteht einen evtl. erfolgten Angriff nachzuvollziehen. Auf heise.de findet Ihr eine genaue Erklärung wie der Angriff funktioniert.
Wie geht es nun weiter?
Da die evtl. ausgelesenen Informationen im Zusammenhang mit Sicherheitsfunktionen des Servers stehen, empfehlen wir Euch dringend alle Passwörter zu ändern. Nicht nur bei uns sondern bei eigentlich allen Onlinediensten die Ihr nutzt. – Wir haben in den letzten Tagen bereits mehrfach die Passwörter unserer Server geändert, sicher ist sicher. 🙂
Was wir noch getan haben?
Darüber hinaus haben wir direkt nach Bekanntwerden der Auswirkungen alle von uns genutzten SSL-Zertifikate (Kundencenter, cPanel, Mail- und FTP-Server) neu generiert (reissue) und auf allen Servern eingebunden. Die zuvor genutzten Zertifikate werden kurzfristig zurückgezogen (revoke). – Damit könnt Ihr der Kommunikation mit unseren Servern und Diensten wieder zu 100% vertrauen, ein evtl. abgegriffener privater Schüssel unserer SSL-Zertifikate ist damit nutzlos geworden. 🙂
Was Ihr noch tun könnt:
Auch wenn ein Missbrauch evtl. abgegriffener Schlüssel äußerst unwahrscheinlich ist, wird ein Austausch der SSL-Zertifikate von verschiedensten Stellen u.a. dem BSI empfohlen. Wir bieten unseren Kunden daher die kostenlose Neuausstellung der über uns bezogenen Zertifikate an.
Da uns eine solche Aktion, neben dem normalen Tagesgeschäft, vor eine kleine Herausforderung stellt, bitten wir Euch den folgenden Punkteplan zu beachten:
- Öffnet ein Support-Ticket im SSL-Zertifikate Bereich mit der / den Domains für die Ihr neue Zertifikate benötigt. (Login erforderlich!)
- Ihr erhaltet kurzfristig weitere Anweisungen zum Ablauf und einen Link mit dessen Hilfe Ihr die Neuausstellung des SSL-Zertifikates (reissue) starten könnt.
- Sobald das Zertifikat von der Vergabestelle neu ausgestellt wurde erhalten wir dieses zur Installation auf dem Server.
- Unser Support-Team installiert das neue Zertifikat und informiert Euch über den Erfolg.
- Ihr könnt nun das alte Zertifikat über den in Punkt 2 erhaltenen Link zurückziehen (revoke).
Wir bemühen uns alle Anfragen zeitnah zu beantworten. Bitten allerdings schon jetzt um euer Verständnis, dass die Bearbeitung einige Tage in Anspruch nehmen wird.
Muss ich mein Zertifikat neu ausstellen lassen?
Nein, nicht zwangsläufig da durch Einsatz der sicheren OpenSSL-Version ein Abgreifen der Informationen zuverlässig verhindert wird! Wird das Zertifikat nicht erneuert, besteht die „Gefahr“ eines „Man-in-the-Middle“ Angriffs bei dem mitgeschnittener Datenverkehr entschlüsselt werden kann. Dies ist allerdings nicht ohne Weiteres möglich. – Nebenbei bemerkt haben einige Banken und große Konzerne heute noch nicht einmal die Lücken gepatcht, geschweige denn die Zertifikate erneuert. 😉
