Heartbleed Bug – Neuausstellung von Zertifikaten

In OpenSSL wurde eine Sicherheitslücke entdeckt, durch die Angreifer private Schlüssel von Servern auslesen können. Dies betrifft eine sehr hohe Anzahl von Web- und Mailserver im Internet, zu denen eine verschlüsselte Verbindung durch den Bug nicht mehr sicher ist.

Wer ist betroffen?

Auf den Webhosting- und Mail-Servern von domainFACTORY wird keine der betroffenen Versionen eingesetzt, diesbezüglich besteht also kein Grund zur Sorge.

Alle Nutzer von JiffyBox, die OpenSSL einsetzen, sollten jedoch dringend die eingesetzte Version prüfen! Betroffen vom Heartbleed Bug sind alle Versionen von 1.0.1 bis einschließlich 1.0.1f.
Bei der älteren Version 1.0.0 und den 0.9 Versionen besteht der Fehler nicht.

Die Sicherheitslücke wurde mit der heute veröffentlichten Version 1.0.1g geschlossen.
Ein Update mit anschließendem Neustart aller Services, die TLS-Verbindungen nutzen, wird dringend empfohlen!

Leider lässt sich ein möglicher Angriff nicht auf dem Server nachvollziehen, so dass allen Nutzern von OpenSSL in den betroffenen Versionen zusätzlich zu einem Update geraten wird, vorsorglich alle TLS-Zertifikate auszutauschen und durch neue Zertifikate mit neuem privaten Schlüsseln zu ersetzen.

Detaillierte Informationen zu der Sicherheitslücke sind auf der Seite http://heartbleed.com/ zu finden.

UPDATE: Für JiffyBox wurden mehrere Distributionen aktualisiert, um die Sicherheitslücke zu schließen. Informationen dazu sind hier, in unserem Forum zu finden.

Neuausstellung der SSL-Zertifikate

Für alle Administratoren, die bis zur Aktualisierung auf die gepatchte Version eine der betroffenen Versionen (1.0.1 bis einschließlich 1.0.1f) genutzt haben, wird ein Austausch des SSL-Zertifikats dringend empfohlen.

WICHTIG: Da unsere Webhosting-Server von dem Bug nicht betroffen sind, ist ein Austausch der bei uns genutzten SSL-Zertifikate nicht notwendig.

Allen Kunden, die ein SSL-Zertifikat von uns nutzen und von dem „Heartbleed Bug“ betroffen sind, bieten wir gerne einen kostenfreien Austausch des SSL-Zertifikats für die aktuelle Laufzeit an.

Kontaktieren Sie dafür bitte unseren Kundenservice in Ihrem Kundenmenü über den Menüpunkt „Kundenservice“ (Bereich „Technik“).

Bitte beachten Sie dazu folgende Hinweise:

  • Sobald das neue Zertifikat ausgestellt wurde, wird das bislang genutzte Zertifikat ungültig. Sie sollten es also auf Ihrem Server direkt tauschen.
  • Bei dem Zertifikatstyp „GeoTrust TrueBusinessID mit erweiterter Validierung“ kann die Neuausstellung einige Tage dauern.
  • Ein Zertifikat kann auf mehreren Servern genutzt werden (Multiserverfähigkeit). Haben Sie das Zertifikat auf mehreren Servern im Einsatz, müssen Sie es auf allen Servern tauschen, da das alte Zertifikat umgehend mit der Neuausstellung ungültig wird.

Hinweis: Über die Webseite von Geotrust besteht für Sie die Möglichkeit, Ihr SSL-Zertifikat selbst zu erneuern. Wir möchten Sie jedoch bitten, dies nicht zu tun, da es sonst bei künftigen Zertifikats-Verlängerungen zu Problemen kommen kann.

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

10 Kommentare


  • bw
    bw - 10. April 2014 um 16:33 Uhr

    Nur zur Klarstellung weil sie „Webhosting Server“ schreiben. Auch Managed Server sind NICHT betroffen?!?!

    (ist im Grunde ja auch eine Art des Webhostings, aber nur zur Sicherheit und Klarstellung…)

  • Anna
    Anna - 10. April 2014 um 16:58 Uhr

    Hallo bw – genau, die ManagedServer sind auch NICHT betroffen.

  • Markus
    Markus - 11. April 2014 um 08:47 Uhr

    Ich muss da kurz nachhaken wie passen denn die Aussagen

    „Da unsere Webhosting-Server von dem Bug nicht betroffen sind, ist ein Austausch der bei uns genutzten SSL-Zertifikate nicht notwendig.“

    „Allen Kunden, die ein SSL-Zertifikat von uns nutzen und von dem „Heartbleed Bug“ betroffen sind, bieten wir gerne einen kostenfreien Austausch des SSL-Zertifikats für die aktuelle Laufzeit an.“

    zusammen?

    Kann man als DF-Kunde nun betroffen sien oder nicht. Und wenn ja wann?

    #Ichchecksgeradenicht

  • Dominik Pesch
    Dominik Pesch - 11. April 2014 um 09:23 Uhr

    @Markus: da die SSL-Zertifikate von dF auch auf externen Servern + jiffyBoxen eingesetzt werden können, werden diese gemeint sein: http://www.df.eu/de/service/df-faq/ssl-zertifikate/externe-einbindung/

  • DIrk
    DIrk - 11. April 2014 um 12:38 Uhr

    Danke für die Info!

  • Robert
    Robert - 11. April 2014 um 13:28 Uhr

    Hallo, eine Frage:

    Wieso habe ich vom df-Support die Antwort erhalten dass Private(!) Key und Zertifikats-Request von df erstellt werden müssen?

  • Anna
    Anna - 11. April 2014 um 13:56 Uhr

    Die Technikabteilung meldet sich dazu gleich noch mal bei Ihnen!

  • Robert
    Robert - 11. April 2014 um 14:28 Uhr

    Hallo Anna,

    meine Frage kann ignoriert oder gelöscht werden,
    da gab es ein Missverständnis bezüglich der Nutzung des Zertifikates. Da ich es nicht für meinen Webspace verwenden möchte sondern für meinen Server hat sich das geklärt.

    Vielen Dank an den freundlichen und schnellen Support 🙂

    Gruß,
    Robert

  • Anna
    Anna - 11. April 2014 um 14:29 Uhr

    Ok, dann ist es ja schön, wenn das aufgeklärt werden konnte!
    Gebe ich weiter, vielen Dank! 🙂

  • Anonymous
    Anonymous - 17. April 2014 um 00:09 Uhr

    Der Vollständigkeit halber sei noch darauf hingewiesen, dass es bei betroffenen Systemen *nicht* ausreichend ist, ein neues Zertifikat erstellen zu lassen. Vielmehr muss erst die Software aktualisiert werden, dann ein neuer Schlüssel erzeugt werden und *dann* darf man für den *neuen* Schlüssel ein neues Zertifikat erstellen. (Reihenfolge beachten!)

    Desweiteren empfiehlt es sich, Forward Secrecy zu aktivieren.