mail.de behebt Heartbleed-Bug in OpenSSL

Dienstag, den 08. April 2014 - 21:55 Uhr Verfasst von Michael Kliewe

Wie Sie vielleicht gelesen haben ist heute eine weit verbreitete Sicherheitslücke bekannt geworden in der Verschlüsselungsbibliothek OpenSSL. Unter dem Namen "Heartbleed" wurde bekannt dass sich in der bei allen modernen Webservern, Mailservern und vielen anderen verschlüsselten Diensten genutzten OpenSSL-Bibliothek eine Lücke befindet.

Weltweit wurde darüber geschrieben, und auch einige Dienste von uns nutzen diese Bibliothek. Da half es auch nichts dass wir unsere Systeme immer auf dem neuesten Stand halten, denn alle aktuellen Versionen der letzten 2 Jahre waren betroffen, sodass nun das halbe Internet die OpenSSL-Bibliothek updaten muss.
Wir haben natürlich sofort reagiert, das Update kam relativ schnell in der das Problem behoben war, sodass wir schnellstmöglich wieder einen sicheren Zustand erreicht haben.

Da wir aber auf Nummer sicher gehen und nicht zu 100% ausschliessen können, dass wir in dieser Zeit angegriffen wurden (OpenSSL bzw. das entsprechende Serverprogramm generiert keine Logdateien in diesem Fall), haben wir vorsichtshalber alle Zertifikate ausgetauscht, sodass wir nun wieder auf der sicheren Seite sind.

Da wir bereits seit längerem Perfect Forward Secrecy einsetzen, hilft einem potentiellen Angreifer der eventuell gestohlene geheime Schlüssel nichts, denn in genau einem solchen Fall hilft Perfect Forward Secrecy dagegen, dass z.B. die NSA den aufgezeichneten verschlüsselten Internettraffic nun rückwirkend entschlüsseln kann, wobei sie dazu ja auch aktiv unsere Server angreifen müßten. Aber wer weiß, sicher ist sicher.

Um es noch einmal klar und deutlich zu schreiben: Zu keiner Zeit war Ihr Kontopasswort oder Ihr E-Mail-Postfach in Gefahr, das Angriffziel war der geheime SSL-Private-Key, der zur Verschlüsselung der Verbindungen genutzt wurde. Dank Perfect-Forward-Secrecy sind alle modernen Browserverbindungen und E-Mail-Verbindungen auch rückwirkend nicht gefährdet. Wir empfehlen nachdrücklich immer einen aktuellen Browser zu verwenden!

Da bei uns alle Dienste verschlüsselt erreichbar sind mußten wir dementsprechend viele Dienste und Server updaten, und auch überall die frischen neuen Zertifikate einbauen. Die alten Zertifikate haben wir widerrufen, diese sind nun also nicht mehr gültig.

Sie können sowohl unsere als auch andere Webseiten mit Hilfe von Online-Test-Webseiten untersuchen, wie das geht erfahren Sie in diesem Artikel bei heise.de.

Bei Fragen wenden Sie sich bitte gern an info@mail.de

Hilfe