Heartbleed-Betroffene stecken Kopf in den Sand
Wer einen Server mit einer für Heartbleed anfälligen OpenSSL-Version betrieben hat, muss damit rechnen, dass seine Private Keys kompromittiert wurden. Trotzdem sind diese in den meisten Fällen immer noch im Einsatz.
- Ronald Eikenberg
Viele Server-Betreiber, die von der Heartbleed-Lücke in OpenSSL betroffen waren, haben nur unzureichend oder gar nicht reagiert. Laut der Statistikfirma Netcraft kommt bei fast 57 Prozent der von Heartbleed betroffenen Sites noch immer das gleiche SSL-Zertifikat zum Einsatz, wie vor dem Vorfall. Grundsätzlich muss man diese Zertifikate als kompromittiert betrachten, weil Angreifer durch die Lücke unter Umständen auf die dazu passenden Private Keys zugreifen konnten – ohne dabei Spuren zu hinterlassen.
Umsetzung unzureichend
Aber auch dann, wenn etwas passiert ist, sind die durchgeführten Maßnahmen oft unzureichend: Bei sieben Prozent der Sites wurden zwar neue SSL-Zertifikate eingesetzt – diese wurden allerdings mit dem gleichen, potenziell kompromittierten Private Key erzeugt. Ein Angreifer, der den geheimen Schlüssel hat, kann in diesen Fällen auch das neue Zertifikat authentisch nachahmen. Insgesamt wurden lediglich 20 Prozent der Zertifikate für ungültig erklärt, indem sie auf eine Sperrliste (Certificate Revocation List, CRL) gesetzt wurden.
Nur bei 14 Prozent der Sites haben die Admins richtig gehandelt und sowohl ein neues Zertifikat mit einem neuen Private Key eingesetzt als auch die Altlasten auf die CRL gesetzt. (rei)