[Postfixbuch-users] Sicherheitsproblem in OpenSSL Verschlüsselung

Mathieu Simon (Lists) matsimon.lists at simweb.ch
Mi Apr 9 22:16:23 CEST 2014



Am 08.04.2014 19:35, schrieb Igor Sverkos:
> Am 8. April 2014 18:52 schrieb Peer Heinlein
> 
>> Alle üblichen Distributionen haben heute Vormittag neue Releases
>> veröffentlicht. Ein einfaches Update reicht.
> 
> Gewagte Aussage. Auf betroffenen Systemen (alle anderen müssen ja auch
> gar nicht aktualisieren) sollten auch die verwendeten Zertifikate neu
> ausgestellt werden, d.h. hier muss Kontakt mit den Zertifikat-Dealern
> aufgenommen werden.
> 
> In diesem Zusammenhang sei auf
> https://twitter.com/startssl/status/453494182544670721 verwiesen..
> StartCom gibt kostenfrei Zertifikate aus, aber für's Revoken verlangen
> sie Geld. Ein Skandal... Gut, wer für ein paar Euro "richtige"... ;)

Hier muss ich fairerweise nachträglich noch ergänzen:
Offiziell (gemäss Webseite) war und ist revocation für EV-Zertifikate
bei StartCom dabei. In meinem einen Fall für zahlende Class 2 Orgs (die
Kategorie darunter) scheinen sie zumindest (hier) eine Ausnahme zu machen.

Mit dem Revocation-Grund die CVE-Nummer resp. Heartbleed kam prompt die
Antwort: "Exceptionally revoked without fee."

Es scheint also nicht wirklich anders als bei anderen CAs: Die Zahlenden
Subscriber werden bei diesem Massenphänomen nicht
zusätzlich zur Kasse gebeten.

Das Problem sind also die kostenlosen Class 1 Zertifikate
(OK, davon dürften nicht wenige bei privaten im Umlauf sein).

-- Mathieu

---
Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.
http://www.avast.com




Mehr Informationen über die Mailingliste Postfixbuch-users