Abo
  • Services:
Anzeige
Neues Zertifikat, kein neuer Key
Neues Zertifikat, kein neuer Key (Bild: Netcraft)

Nach Heartbleed: Neues Zertifikat, alter Key

Nach dem Heartbleed-Bug haben viele Administratoren Zertifikate für TLS-Verbindungen ausgetauscht. Viele haben dabei jedoch einen fatalen Fehler begangen: Sie erstellten zwar ein neues Zertifikat, aber keinen neuen Schlüssel.

Anzeige

Nach dem Heartbleed-Bug lautete der Ratschlag an Systemadministratoren: Zertifikate müssen jetzt ausgetauscht werden. Denn im schlimmsten Fall ist ein Angreifer mittels Heartbleed in der Lage, die privaten Schlüssel zu einem Zertifikat zu extrahieren.

Viele Administratoren sind dem auch nachgekommen. Nach einer Statistik, die die Webseite Netcraft veröffentlicht hat, haben etwa 43 Prozent der von Netcraft beobachteten Webseiten nach Heartbleed ihre Zertifikate erneuert. Doch die Statistik von Netcraft zeigt auch, dass etwa sieben Prozent davon offenbar einen kapitalen Fehler begangen haben: Sie haben zwar ein neues Zertifikat erstellt, aber den kryptographischen Schlüssel, der Teil eines jeden Zertifikats ist, nicht geändert.

Damit ist der Austausch der Zertifikate völlig nutzlos. Denn das neue Zertifikat soll davor schützen, dass Angreifer möglicherweise bereits vor oder kurz nach der öffentlichen Bekanntgabe von Heartbleed private Schlüssel extrahiert haben. Doch wenn derselbe private Schlüssel auch für das neue Zertifikat gilt, kann ein Angreifer damit nach wie vor Verbindungen abhören.

Manche Zertifizierungsstellen bieten ihren Kunden an, Zertifikate nicht komplett neu zu erstellen, sondern lediglich zu "erneuern". Das bedeutet, dass der User seinen privaten Schlüssel weiterhin nutzen kann und lediglich das Zertifikat selbst austauschen muss. Sonderlich empfehlenswert ist das allerdings nicht: Da die Erzeugung eines neuen Schlüssels nichts kostet und nur wenige Sekunden dauert, ist es besser, generell bei einem neuen Zertifikat auch einen neuen Schlüssel zu verwenden.

Netcraft weist darauf hin, dass Zertifizierungsstellen ein solches Wiederverwenden des Schlüssels bei zurückgezogenen Zertifikaten generell unterbinden sollten. Wenn ein Zertifikat zurückgezogen wird, geht man, anders als bei einem abgelaufenen Zertifikat, in der Regel davon aus, dass der private Schlüssel nicht mehr als sicher angesehen werden kann. Die Zertifizierungsstellen müssten lediglich eine Liste der Schlüssel von zurückgezogenen Zertifikaten vorhalten und neue Zertifikate damit vergleichen.

Neben dem Problem mit den wiederverwendeten Schlüsseln beobachtete Netcraft, dass bei vielen neuen Zertifikaten die zugehörigen alten Zertifikate nicht zurückgezogen wurden. Das betrifft etwa die Hälfte der neuen Zertifikate. Ein Grund dafür dürfte sein, dass manche Zertifizierungsstellen für das Zurückziehen von Zertifikaten Geld verlangen. Allerdings: Das Zurückziehen von Zertifikaten mittels des CRL- oder OCSP-Protokolls ist sowieso weitgehend nutzlos. Insofern dürfte das Zurückziehen in der Praxis auch nur einen geringen Sicherheitsgewinn bringen.


eye home zur Startseite
derdiedas 12. Mai 2014

... die meisten haben den Bug damit erledigt das Betroffene Produkt zu Patchen. Damit ist...

Ingwar 12. Mai 2014

Im Grundstudium haben wir sowas auch nicht gelernt - vielleicht einem der Schwerpunkte...

nirgendwer 11. Mai 2014

In dieser Kombination nicht unbedingt. Da hats doch wer nicht geglaubt und einen...

justanotherhusky 11. Mai 2014

Nicht böse sein, aber der einzig tiefere Sinn für wahrscheinlich 75% der...

neocron 11. Mai 2014

tolle auffassungsgabe!



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. WEMACOM Telekommunikation GmbH, Schwerin
  3. Heinzmann GmbH & Co. KG, Schönau
  4. Allianz Deutschland AG, Stuttgart


Anzeige
Spiele-Angebote
  1. 1,49€
  2. 9,99€
  3. 7,49€

Folgen Sie uns
       


  1. DSLR

    Nikon D850 macht 45,7 Megapixel große Bilder mit 9 fps

  2. Chrome Web Store

    Chrome warnt künftig vor manipulativen Erweiterungen

  3. Separate E-Mail-Adressen

    Komplexe Hilfe gegen E-Mail-Angriffe

  4. Luna Display

    iPad wird zum Funk-Zweitdisplay für den Mac

  5. Centriq 2400

    Qualcomm erläutert 48-Kern-ARM-Chip

  6. Ni No Kuni 2 Angespielt

    Scharmützel und Aufbau im Königreich Ding Dong Dell

  7. Elektroautos

    115 Schnellladestationen gegen Reichweitenangst gebaut

  8. Drohnenlieferungen

    In Island fliegen bald Pizza und Bier

  9. Playstation Now

    Sonys Streamingdienst für PS4 und Windows-PC gestartet

  10. Umweltbundesamt

    Software-Updates für Diesel reichen nicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Google Express Google und Walmart gehen Shopping-Kooperation ein
  2. Smarter Lautsprecher Google Home erhält Bluetooth-Zuspielung und Spotify Free
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Eine vergleichsweise einfache Lösung wäre...

    hansenhawk | 10:44

  2. Re: Nein ich kenn das nicht.

    Umaru | 10:43

  3. Re: freue mich wie ein kind...

    mingobongo | 10:42

  4. Re: Sind 1000 Euro nicht zu teuer?

    ve2000 | 10:41

  5. Oder einfach

    Henne231 | 10:41


  1. 10:52

  2. 09:10

  3. 09:00

  4. 08:32

  5. 08:10

  6. 07:45

  7. 07:41

  8. 07:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel