Heartbleed - Nochmals ein neues Zertifikat für *.immerda.ch

Publiziert: 08 April 2014 - Kategorie: info

Aufgrund aktueller Ereignisse (Heise-Artikel), haben wir uns dazu entschieden nochmals einen neuen Schlüssel für das Zertifikat der *.immerda.ch Domains zu erstellen und damit auch nochmals ein neues Zertifikat zu organisieren.

Der neue Fingerprint für das Zertifikat lautet:

SHA1 Fingerprint=C9:AD:B6:77:81:10:CC:88:D0:5F:3E:AC:AA:A2:2F:1D:51:BA:69:47

Wiederum gibt es diesen auch hier mit unserem Schlüssel signiert, so dass der Fingerprint sauber verifizierbar ist. Mehr zu Zertifikaten findest du hier

Hintergrund

In der Nacht auf Heute wurde ein seit über zwei Jahren bestehendes Problem in der OpenSSL Bibliothek – die unter anderem für verschlüsselten Verbindungen (SSL) verwendet wird – bekannt. Weiterführende Erklärungen findes du auf der Webseite zum Problem oder bei Heise.

Unsere Reaktion

Im Verlauf des Morgen vom 08. April kamen “Fixes” für das Problem für die verschiedenen Distributionen heraus und wir haben umgehend ein Update unserer Dienste vorgenommen. Seither sind unsere Dienste nicht mehr vom Problem betroffen.

Folgen – Don’t panic

Wie bereits beschrieben, bestand das Problem seit über zwei Jahren und es ist nicht auszuschliessen, dass jemand das Problem schon früher entdeckt hat. Ebenfalls kann nicht ausgeschlossen werden, dass jemand die kurze Zeit zwischen dem Bekanntwerden und der Behebung des Problems ausgenutzt hat, um Daten abzugreifen.

Dies kann beispielsweise Folgendes bedeuten: Wäre in der Zeit als unsere Systeme betroffen waren, eine Nutzerin auf unseren Systemen aktiv gewesen, so hätte eine Angreiferin Daten von dieser Nutzerin einzig in diesem Moment abgreifen können. Unter diesen Daten kann man sich zum Beispiel Passwörter oder auch den Inhalt von E-Mails vorstellen. Weiter ist es denkbar, dass der private Schlüssel für die SSL Verbindungen hätte ausgelesen werden können.

Deshalb haben wir uns dazu entschieden einen neuen Schlüssel (und damit ein neues Zertifikat) für die Dienste unter *.immerda.ch zu generieren.

Wir möchten nicht unnötig Angst verbreiten. Der Vollständigkeit halber möchten wir jedoch Folgendes festhalten: Ob die Sicherheitslücke aktiv ausgenutzt wurde, kann nicht abschliessend festgestellt werden und kann deshalb unter Umständen unentdeckt bleiben. Wer auf Nummer Sicher gehen möchte, sollte ihre Passwörter bei uns ändern. Ebenfalls sollte zumindest in Betracht gezogen werden, dass auf weitere Daten, die bei uns im Klartext hinterlegt wurden (z.B. E-Mails) von Dritten zugegriffen worden sein könnte. Dies ist nicht nur bei immerda der Fall, sondern bei sämtlichen Online-Diensten im Internet, bei denen Daten nicht bei euch lokal auf eurem Rechner verschlüsselt werden.

Wir möchten an dieser Stelle betonen, dass wir hiermit vor allem auf die mögliche Problematik hinweisen möchten. Zugleich möchten wir aber auch festhalten, dass wir es eher als unwahrscheinlich ansehen, dass das Problem aktiv ausgenutzt wurde.

Bevor du nun also Panik schiebst: Bitte überlege zuerst und wäge ab, bevor du aktiv wirst und z.B. deine Passwörter änderst. Wobei sich die Gelegenheit vielleicht auch gerade anbieten würde, deine verschiedenen Passwörter mal wieder zu ändern. Für Fragen stehen wir dir gerne zur Verfügung! Weiter gilt Folgendes:

Vergangenes

Die Ciphers, die bevorzugt für SSL Verbindungen mit unseren Servern verwendet werden, nutzen seit längerem die Eigenschaft von Perfect Forward Secrecy. Dies bedeutet, dass selbst wenn unser alter Schlüssel hätte ausgelesen werden können, die bis dahin aufgebauten SSL Verbindungen dennoch von einer nachträglichen Entschlüsselung wie gehabt geschützt sind.