Abo
  • Services:
Anzeige
Neues Zertifikat, kein neuer Key
Neues Zertifikat, kein neuer Key (Bild: Netcraft)

Nach Heartbleed: Neues Zertifikat, alter Key

Neues Zertifikat, kein neuer Key
Neues Zertifikat, kein neuer Key (Bild: Netcraft)

Nach dem Heartbleed-Bug haben viele Administratoren Zertifikate für TLS-Verbindungen ausgetauscht. Viele haben dabei jedoch einen fatalen Fehler begangen: Sie erstellten zwar ein neues Zertifikat, aber keinen neuen Schlüssel.

Nach dem Heartbleed-Bug lautete der Ratschlag an Systemadministratoren: Zertifikate müssen jetzt ausgetauscht werden. Denn im schlimmsten Fall ist ein Angreifer mittels Heartbleed in der Lage, die privaten Schlüssel zu einem Zertifikat zu extrahieren.

Anzeige

Viele Administratoren sind dem auch nachgekommen. Nach einer Statistik, die die Webseite Netcraft veröffentlicht hat, haben etwa 43 Prozent der von Netcraft beobachteten Webseiten nach Heartbleed ihre Zertifikate erneuert. Doch die Statistik von Netcraft zeigt auch, dass etwa sieben Prozent davon offenbar einen kapitalen Fehler begangen haben: Sie haben zwar ein neues Zertifikat erstellt, aber den kryptographischen Schlüssel, der Teil eines jeden Zertifikats ist, nicht geändert.

Damit ist der Austausch der Zertifikate völlig nutzlos. Denn das neue Zertifikat soll davor schützen, dass Angreifer möglicherweise bereits vor oder kurz nach der öffentlichen Bekanntgabe von Heartbleed private Schlüssel extrahiert haben. Doch wenn derselbe private Schlüssel auch für das neue Zertifikat gilt, kann ein Angreifer damit nach wie vor Verbindungen abhören.

Manche Zertifizierungsstellen bieten ihren Kunden an, Zertifikate nicht komplett neu zu erstellen, sondern lediglich zu "erneuern". Das bedeutet, dass der User seinen privaten Schlüssel weiterhin nutzen kann und lediglich das Zertifikat selbst austauschen muss. Sonderlich empfehlenswert ist das allerdings nicht: Da die Erzeugung eines neuen Schlüssels nichts kostet und nur wenige Sekunden dauert, ist es besser, generell bei einem neuen Zertifikat auch einen neuen Schlüssel zu verwenden.

Netcraft weist darauf hin, dass Zertifizierungsstellen ein solches Wiederverwenden des Schlüssels bei zurückgezogenen Zertifikaten generell unterbinden sollten. Wenn ein Zertifikat zurückgezogen wird, geht man, anders als bei einem abgelaufenen Zertifikat, in der Regel davon aus, dass der private Schlüssel nicht mehr als sicher angesehen werden kann. Die Zertifizierungsstellen müssten lediglich eine Liste der Schlüssel von zurückgezogenen Zertifikaten vorhalten und neue Zertifikate damit vergleichen.

Neben dem Problem mit den wiederverwendeten Schlüsseln beobachtete Netcraft, dass bei vielen neuen Zertifikaten die zugehörigen alten Zertifikate nicht zurückgezogen wurden. Das betrifft etwa die Hälfte der neuen Zertifikate. Ein Grund dafür dürfte sein, dass manche Zertifizierungsstellen für das Zurückziehen von Zertifikaten Geld verlangen. Allerdings: Das Zurückziehen von Zertifikaten mittels des CRL- oder OCSP-Protokolls ist sowieso weitgehend nutzlos. Insofern dürfte das Zurückziehen in der Praxis auch nur einen geringen Sicherheitsgewinn bringen.


eye home zur Startseite
derdiedas 12. Mai 2014

... die meisten haben den Bug damit erledigt das Betroffene Produkt zu Patchen. Damit ist...

Ingwar 12. Mai 2014

Im Grundstudium haben wir sowas auch nicht gelernt - vielleicht einem der Schwerpunkte...

nirgendwer 11. Mai 2014

In dieser Kombination nicht unbedingt. Da hats doch wer nicht geglaubt und einen...

justanotherhusky 11. Mai 2014

Nicht böse sein, aber der einzig tiefere Sinn für wahrscheinlich 75% der...

neocron 11. Mai 2014

tolle auffassungsgabe!



Anzeige

Stellenmarkt
  1. MOMENI Gruppe, Hamburg
  2. Pan Dacom Networking AG, Berlin
  3. symmedia GmbH, Bielefeld
  4. Münchener Rückversicherungs-Gesellschaft AG, München


Anzeige
Spiele-Angebote
  1. 3,99€
  2. 0,00€ USK 18
  3. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€

Folgen Sie uns
       


  1. VBB Fahrcard

    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

  2. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  3. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  4. Smach Z

    PC-Handheld nutzt Ryzen V1000

  5. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  6. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  7. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild

  8. Gigabit

    Swisscom führt neue Mobilfunkgeneration 5G schon 2018 ein

  9. Bpfilter

    Linux-Kernel könnte weitere Firewall-Technik bekommen

  10. Media Broadcast

    Freenet TV kommt auch über Satellit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lebensmittel-Lieferservices: Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
Lebensmittel-Lieferservices
Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
  1. Kassenloser Supermarkt Technikfehler bei Amazon Go
  2. Amazon Go Kassenloser Supermarkt öffnet
  3. ThinQ LG fährt voll auf künstliche Intelligenz ab

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Ryzen V1000 und Epyc 3000 AMD bringt Zen-Architektur für den Embedded-Markt
  2. Raven Ridge AMD verschickt CPUs für UEFI-Update
  3. Krypto-Mining AMDs Threadripper schürft effizient Monero

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

  1. Re: sich Freenet nennen aber kostenpflichtig sein

    Flexy | 23:04

  2. Re: Meine Ansicht zu dem Ganzen:

    Niaxa | 23:02

  3. Marktlücke:

    honna1612 | 22:55

  4. 9:30 Uhr Bahnhof Zoo, Bus 245 Richtung Hauptbahnhof

    liberavia | 22:55

  5. Ein 100 Mio. Taschengeld als Strafe für FB?

    cpt.dirk | 22:53


  1. 18:21

  2. 18:09

  3. 18:00

  4. 17:45

  5. 17:37

  6. 17:02

  7. 16:25

  8. 16:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel