Abo
  • Services:

Nach Heartbleed: Neues Zertifikat, alter Key

Nach dem Heartbleed-Bug haben viele Administratoren Zertifikate für TLS-Verbindungen ausgetauscht. Viele haben dabei jedoch einen fatalen Fehler begangen: Sie erstellten zwar ein neues Zertifikat, aber keinen neuen Schlüssel.

Artikel veröffentlicht am , Hanno Böck
Neues Zertifikat, kein neuer Key
Neues Zertifikat, kein neuer Key (Bild: Netcraft)

Nach dem Heartbleed-Bug lautete der Ratschlag an Systemadministratoren: Zertifikate müssen jetzt ausgetauscht werden. Denn im schlimmsten Fall ist ein Angreifer mittels Heartbleed in der Lage, die privaten Schlüssel zu einem Zertifikat zu extrahieren.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Viele Administratoren sind dem auch nachgekommen. Nach einer Statistik, die die Webseite Netcraft veröffentlicht hat, haben etwa 43 Prozent der von Netcraft beobachteten Webseiten nach Heartbleed ihre Zertifikate erneuert. Doch die Statistik von Netcraft zeigt auch, dass etwa sieben Prozent davon offenbar einen kapitalen Fehler begangen haben: Sie haben zwar ein neues Zertifikat erstellt, aber den kryptographischen Schlüssel, der Teil eines jeden Zertifikats ist, nicht geändert.

Damit ist der Austausch der Zertifikate völlig nutzlos. Denn das neue Zertifikat soll davor schützen, dass Angreifer möglicherweise bereits vor oder kurz nach der öffentlichen Bekanntgabe von Heartbleed private Schlüssel extrahiert haben. Doch wenn derselbe private Schlüssel auch für das neue Zertifikat gilt, kann ein Angreifer damit nach wie vor Verbindungen abhören.

Manche Zertifizierungsstellen bieten ihren Kunden an, Zertifikate nicht komplett neu zu erstellen, sondern lediglich zu "erneuern". Das bedeutet, dass der User seinen privaten Schlüssel weiterhin nutzen kann und lediglich das Zertifikat selbst austauschen muss. Sonderlich empfehlenswert ist das allerdings nicht: Da die Erzeugung eines neuen Schlüssels nichts kostet und nur wenige Sekunden dauert, ist es besser, generell bei einem neuen Zertifikat auch einen neuen Schlüssel zu verwenden.

Netcraft weist darauf hin, dass Zertifizierungsstellen ein solches Wiederverwenden des Schlüssels bei zurückgezogenen Zertifikaten generell unterbinden sollten. Wenn ein Zertifikat zurückgezogen wird, geht man, anders als bei einem abgelaufenen Zertifikat, in der Regel davon aus, dass der private Schlüssel nicht mehr als sicher angesehen werden kann. Die Zertifizierungsstellen müssten lediglich eine Liste der Schlüssel von zurückgezogenen Zertifikaten vorhalten und neue Zertifikate damit vergleichen.

Neben dem Problem mit den wiederverwendeten Schlüsseln beobachtete Netcraft, dass bei vielen neuen Zertifikaten die zugehörigen alten Zertifikate nicht zurückgezogen wurden. Das betrifft etwa die Hälfte der neuen Zertifikate. Ein Grund dafür dürfte sein, dass manche Zertifizierungsstellen für das Zurückziehen von Zertifikaten Geld verlangen. Allerdings: Das Zurückziehen von Zertifikaten mittels des CRL- oder OCSP-Protokolls ist sowieso weitgehend nutzlos. Insofern dürfte das Zurückziehen in der Praxis auch nur einen geringen Sicherheitsgewinn bringen.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)

derdiedas 12. Mai 2014

... die meisten haben den Bug damit erledigt das Betroffene Produkt zu Patchen. Damit ist...

Ingwar 12. Mai 2014

Im Grundstudium haben wir sowas auch nicht gelernt - vielleicht einem der Schwerpunkte...

nirgendwer 11. Mai 2014

In dieser Kombination nicht unbedingt. Da hats doch wer nicht geglaubt und einen...

justanotherhusky 11. Mai 2014

Nicht böse sein, aber der einzig tiefere Sinn für wahrscheinlich 75% der...

neocron 11. Mai 2014

tolle auffassungsgabe!


Folgen Sie uns
       


Nubia Red Magic Mars - Hands on (CES 2019)

Das Red Magic Mars von Nubia ist ein Gaming-Smartphone mit guter Hardware - und einem ziemlich guten Preis.

Nubia Red Magic Mars - Hands on (CES 2019) Video aufrufen
C64-WLAN-Modem ausprobiert: Mit dem C64 ins Netz
C64-WLAN-Modem ausprobiert
Mit dem C64 ins Netz

WLAN am C64 per Steckmodul - klingt simpel und nach einer interessanten Spielerei. Wir haben unseren 8-Bit-Commodore ins Netz gebracht und dabei geschafft, woran wir in den frühen 90ern gescheitert sind: ein Bulletin-Board zu besuchen.
Ein Erfahrungsbericht von Martin Wolf

  1. Klassiker Internet Archive bietet Tausende spielbare C64-Games

Hunt Showdown (Beta) im Test: Hmmm Hmmm Hmmm Hmmm
Hunt Showdown (Beta) im Test
Hmmm Hmmm Hmmm Hmmm

Tolle Optik, klasse Sound, dichte Atmosphäre: Hunt Showdown von Crytek macht solo oder im Duo schon im Early Access viel Spaß, wenn man sich auf das Spielprinzip einlässt. Wer laut ist, stirbt oft und schnell.
Ein Test von Marc Sauter

  1. Laufzeitumgebung Cryengine 5.5 unterstützt Raytracing-Schatten

Privatsphäre: Kaum wird die App geöffnet, landen Daten bei Facebook
Privatsphäre
"Kaum wird die App geöffnet, landen Daten bei Facebook"

Viele Apps schicken ohne Zustimmung Daten an das soziale Netzwerk Facebook. Frederike Kaltheuner von der Organisation Privacy International erklärt, wie Nutzer sich wehren können.
Ein Interview von Hakan Tanriverdi

  1. Facebook 15.000 Moderatoren und ein lückenhaftes Regelwerk
  2. Facebook Netflix und Spotify bekamen Zugriff auf private Nachrichten
  3. Datenschutz Löschen des Tracking-Verlaufs auf Facebook macht Probleme

    •  /