[Postfixbuch-users] Sicherheitsproblem in OpenSSL Verschlüsselung

Igor Sverkos igor.sverkos at googlemail.com
Di Apr 8 19:35:25 CEST 2014


Am 8. April 2014 18:52 schrieb Peer Heinlein

> Alle üblichen Distributionen haben heute Vormittag neue Releases
> veröffentlicht. Ein einfaches Update reicht.

Gewagte Aussage. Auf betroffenen Systemen (alle anderen müssen ja auch
gar nicht aktualisieren) sollten auch die verwendeten Zertifikate neu
ausgestellt werden, d.h. hier muss Kontakt mit den Zertifikat-Dealern
aufgenommen werden.

In diesem Zusammenhang sei auf
https://twitter.com/startssl/status/453494182544670721 verwiesen..
StartCom gibt kostenfrei Zertifikate aus, aber für's Revoken verlangen
sie Geld. Ein Skandal... Gut, wer für ein paar Euro "richtige"... ;)

Jedenfalls worauf ich hinaus will: Mit einem Update alleine ist es
eben nicht getan. Wer die Sicherheit seiner Dienste ernst nimmt, muss
meiner Meinung nach alle Zertifikate der betroffenen Kisten
austauschen. Natürlich erst, nachdem gepatcht wurde. Nur so ist
sichergestellt, dass die Kommunikation weiterhin gesichert ist. Denn
es besteht nun einmal die Gefahr, siehe die Infoseite
http://heartbleed.com/, dass der private Key bereits ausgelesen wurde.
Mit anderen Worten: Ihr könnt zwar patchen, aber ein Angreifer kann
dann in aller Ruhe den weiterhin verschlüsselten Verkehr mitlesen und
ihn in Ruhe bei sich entschlüsseln.

Ein einfaches Update reicht meiner Meinung nach also *nicht* aus.

Seht ihr das wirklich anders?


-- 
Ich Grüße,
Igor



Mehr Informationen über die Mailingliste Postfixbuch-users