Abo
  • IT-Karriere:

Nach Heartbleed: Neues Zertifikat, alter Key

Nach dem Heartbleed-Bug haben viele Administratoren Zertifikate für TLS-Verbindungen ausgetauscht. Viele haben dabei jedoch einen fatalen Fehler begangen: Sie erstellten zwar ein neues Zertifikat, aber keinen neuen Schlüssel.

Artikel veröffentlicht am , Hanno Böck
Neues Zertifikat, kein neuer Key
Neues Zertifikat, kein neuer Key (Bild: Netcraft)

Nach dem Heartbleed-Bug lautete der Ratschlag an Systemadministratoren: Zertifikate müssen jetzt ausgetauscht werden. Denn im schlimmsten Fall ist ein Angreifer mittels Heartbleed in der Lage, die privaten Schlüssel zu einem Zertifikat zu extrahieren.

Stellenmarkt
  1. Evangelische Landeskirche in Württemberg, Stuttgart
  2. ABSOLUTWEB GmbH, Köln

Viele Administratoren sind dem auch nachgekommen. Nach einer Statistik, die die Webseite Netcraft veröffentlicht hat, haben etwa 43 Prozent der von Netcraft beobachteten Webseiten nach Heartbleed ihre Zertifikate erneuert. Doch die Statistik von Netcraft zeigt auch, dass etwa sieben Prozent davon offenbar einen kapitalen Fehler begangen haben: Sie haben zwar ein neues Zertifikat erstellt, aber den kryptographischen Schlüssel, der Teil eines jeden Zertifikats ist, nicht geändert.

Damit ist der Austausch der Zertifikate völlig nutzlos. Denn das neue Zertifikat soll davor schützen, dass Angreifer möglicherweise bereits vor oder kurz nach der öffentlichen Bekanntgabe von Heartbleed private Schlüssel extrahiert haben. Doch wenn derselbe private Schlüssel auch für das neue Zertifikat gilt, kann ein Angreifer damit nach wie vor Verbindungen abhören.

Manche Zertifizierungsstellen bieten ihren Kunden an, Zertifikate nicht komplett neu zu erstellen, sondern lediglich zu "erneuern". Das bedeutet, dass der User seinen privaten Schlüssel weiterhin nutzen kann und lediglich das Zertifikat selbst austauschen muss. Sonderlich empfehlenswert ist das allerdings nicht: Da die Erzeugung eines neuen Schlüssels nichts kostet und nur wenige Sekunden dauert, ist es besser, generell bei einem neuen Zertifikat auch einen neuen Schlüssel zu verwenden.

Netcraft weist darauf hin, dass Zertifizierungsstellen ein solches Wiederverwenden des Schlüssels bei zurückgezogenen Zertifikaten generell unterbinden sollten. Wenn ein Zertifikat zurückgezogen wird, geht man, anders als bei einem abgelaufenen Zertifikat, in der Regel davon aus, dass der private Schlüssel nicht mehr als sicher angesehen werden kann. Die Zertifizierungsstellen müssten lediglich eine Liste der Schlüssel von zurückgezogenen Zertifikaten vorhalten und neue Zertifikate damit vergleichen.

Neben dem Problem mit den wiederverwendeten Schlüsseln beobachtete Netcraft, dass bei vielen neuen Zertifikaten die zugehörigen alten Zertifikate nicht zurückgezogen wurden. Das betrifft etwa die Hälfte der neuen Zertifikate. Ein Grund dafür dürfte sein, dass manche Zertifizierungsstellen für das Zurückziehen von Zertifikaten Geld verlangen. Allerdings: Das Zurückziehen von Zertifikaten mittels des CRL- oder OCSP-Protokolls ist sowieso weitgehend nutzlos. Insofern dürfte das Zurückziehen in der Praxis auch nur einen geringen Sicherheitsgewinn bringen.



Anzeige
Spiele-Angebote
  1. 2,49€
  2. 3,99€ statt 19,99€
  3. 0,00€
  4. 3,99€

derdiedas 12. Mai 2014

... die meisten haben den Bug damit erledigt das Betroffene Produkt zu Patchen. Damit ist...

Ingwar 12. Mai 2014

Im Grundstudium haben wir sowas auch nicht gelernt - vielleicht einem der Schwerpunkte...

nirgendwer 11. Mai 2014

In dieser Kombination nicht unbedingt. Da hats doch wer nicht geglaubt und einen...

justanotherhusky 11. Mai 2014

Nicht böse sein, aber der einzig tiefere Sinn für wahrscheinlich 75% der...

neocron 11. Mai 2014

tolle auffassungsgabe!


Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Jobporträt Wenn die Software für den Anwalt kurzen Prozess macht
  2. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  3. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

    •  /