Heise SSL-Check mit erweiterter Erkennung
Der vor zwei Wochen vorgestellte Test auf schwache SSL-Zertifikate erkennt nun fast alle schwachen Schlüssel. Die bisherige Version war auf Standardhardware und -optionen beschränkt.
Der vor zwei Wochen vorgestellte Test auf schwache SSL-Zertifikate erkennt nun auch schwache Schlüssel, die von der Standardkonfiguration abweichen. Dazu gehören neben denen, mit den eher unüblichen Schlüssellängen 512 und 4096 Bit auch jene, die auf 64-Bit-Systemen oder solchen mit anderer Byte-Reihenfolge (Endianess) erstellt wurden.
Durch einen Fehler des Paketbetreuers erzeugten Debian-Systeme über anderthalb Jahre schwache OpenSSL-Schlüssel. Kommen diese als Zertifikat von https-Sites zum Einsatz, können Kriminelle nicht nur unter Umständen den verschlüsselten Verkehr einfach dechiffieren, sondern auch gefälschte https-Sites unter dem Namen der Site aufsetzen. Auch andere Dienste, die SSL zur Authentifizierung und Verschlüsselung nutzen, sind von dem Problem betroffen und lassen sich mit den heise SSL-Check testen.
In den ersten zwei Wochen wurden bereits rund 12.000 Systeme getestet; bei knapp 1300 diagnostizierte der Test einen schwachen Schlüssel. Von den restlichen waren immerhin 12 betroffen, aber in den alten Listen noch nicht enthalten. Sie werden somit erst mit der jetzt freigeschalteten, neuen Version als schwach erkannt.
Wer sich also nicht sicher ist, dass sein SSL-Zetifikat mit den üblichen 1024 beziehungsweise 2048 Bit auf einem 32-Bit-Intel-System erzeugt wurde, sollte den Test vorsichtshalber wiederholen. Auch Serverbetreiber, die ihr Zertifikat noch nicht überprüft haben, sollten dies jetzt schleunigst nachholen. Nach Tests von heise Security finden sich im Web immer noch viele https-Server, die zwar beispielsweise zur Online-Bezahlung auffordern, dies aber nur mit schwachen Schlüsseln absichern. Betroffene Zertifikate sollte man sofort widerrufen und durch neue ersetzen. Dabei ist darauf zu achten, dass man den alten Schlüssel nicht weiter verwendet. Die Trustcenter bieten diesen Service ausnahmsweise kostenlos an.
Siehe dazu auch:
- Viele schwache Web-Server-Zertifikate gefährden Online-Shopping auf heise Security
- Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co. auf heise Security
- https/SSL-Zertifikate testen auf heise Netze
(ju)
