Heartbleed SSL-GAU: Neue Zertifikate braucht das Land

Ein simples Update reicht nicht: Nach der OpenSSL-LĂĽcke mĂĽssen Serverbetreiber Zertifikate austauschen. Bei manchen CAs geht das kostenlos, andere Zertifikats-Anbieter und Hoster belassen es bei Warnungen.

In Pocket speichern vorlesen Druckansicht 221 Kommentare lesen
Lesezeit: 4 Min.
Von

Es ist der größte anzunehmende Unfall für die Verschlüsselungssoftware: Server, die von der Heartbleed-Lücke von OpenSSL betroffen sind, geben Angreifern geheimste Daten preis. Und das schlimmste daran: Nachträglich kann niemand sagen, welche Daten entwichen sind.

Heartbleed-Bug: Der GAU fĂĽr Web-VerschlĂĽsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Da die LĂĽcke relativ einfach zu finden und auszunutzen ist, besteht eine realistische Gefahr, dass andere sie bereits frĂĽher entdeckt und systematisch Server-SchlĂĽssel eingesammelt haben, ohne dabei Spuren zu hinterlassen. Selbst Systeme, die sehr schnell nach Bekanntwerden des Bugs aktualisiert wurden, mĂĽssen deshalb als kompromittiert gelten. Dass die geheimen Server-Zertifikate bereits kopiert wurden, ist so wahrscheinlich, dass deren Austausch notwendig ist.

"Der Heatbleed-Bug sollte extrem ernst genommen werden", erklärt Paul van Brouwershaven von der Zertifizierungsstelle (Certificate Authority, CA) GlobalSign auf Anfrage von heise security. "Wir raten jedem dazu, die verwendete OpenSSL-Version zu prüfen, ihre Systeme zu aktualisieren und für alle betroffenen Server neue Zertifikate anzufordern und die alten widerrufen zu lassen", erklärt van Brouwershaven. Die positive Nachricht: Wie Globalsign im eigenen Blog mitteilt, ist der Zertifikatsaustausch für die eigenen Kunden kostenlos. Sie müssen sich im Supportcenter anmelden und können dort den Austausch organisieren.

Auch Kunden des Zertifikats-Anbieters Thawte können einen solchen Zertifikatsaustausch anscheinend kostenlos in die Wege leiten; zumindest mit einem EV-Zertifikat von Thawte klappte das reibungslos. Konkurrent Comodo teilt lediglich per Twitter mit, dass die eigenen Systeme auf den aktuellen Stand gebracht und die eigenen Zertifikate sicherheitshalber ausgetauscht worden seien. Unsere Anfrage, ob Kunden kompromittierte Zertifikate kostenlos erneuern können, blieb bislang unbeantwortet. [Update: Über Twitter verkündet nun auch Comodo eine "free reissue policy" – also kostenlose Zertifikats-Updates.]

Viele Kunden kaufen ihre Zertifikate auch nicht direkt bei einer Zertifizierungsstelle, sondern bedienen sich bei Resellern oder den Angeboten von Hosting-Providern, die SSL-Verschlüsselung als Zusatzdienstleistung verkaufen. Doch diese Unternehmen sind meist noch zögerlich, wie sie den Austausch so vieler Zertifikate organisieren sollen. Wer einen (ehemals) anfälligen Server mit einem solchen Zertifikat betreibt, muss damit rechnen, auf den Kosten für den anstehenden Zertifikatswechsel sitzen zu bleiben.

So versichert Strato lediglich, dass die per One-Click-Bestellung verkauften Shared-Hosting-Zertifikate nicht betroffen seien – was wohl bedeuten soll, dass die Server nicht für Heartbleed anfällig waren. Ob das stimmt und ob diese Zertifikate nicht auch unter Umständen in verwundbaren Umgebungen zum Einsatz kamen, konnten wir bislang nicht überprüfen. Auch 1&1 und T-Systems konnten noch keine Strategie präsentieren, ob und wie sie den groß angelegten Austausch von Zertifikaten möglichst schnell organisieren wollen. Hosteurope rät lediglich pauschal dazu, den Support zu kontaktieren, wenn man die Vermutung habe, von der Lücke betroffen zu sein.

Updates:

# Pech haben offenbar die Nutzer der kostenlosen StartSSL-Zertifikate des Anbieters StartCom. FĂĽr eine Neuausstellung eines durch Heartbleed kompromittierten Zertifikats verlangt das Unternehmen eine BearbeitungsgebĂĽhr von 24,90 US-Dollar.

# Die PSW Group tauscht Zertifikate ebenfalls kostenlos aus.

# T-Systems erklärt gegenüber heise Security, dass derzeit ein zentraler Austausch der Zertifikate aller betroffenen Server läuft, deren SSL-Infrastruktur der Dienstleister betreut. Es soll noch am Mittwoch abgeschlossen werden; die Kunden des Unternehmens müssen demnach nicht selbst tätig werden.

# Leser berichten, dass auch DigiCert kostenfrei Zertifikate mit neuen SchlĂĽsseln auststellt (re-keying).

Falls uns weitere Informationen zur Zertifikatserneuerung erreichen, werden wir die hier im Lauf des Tages noch nachtragen.

(ju)