Abo
  • Services:

Nach Heartbleed: Neues Zertifikat, alter Key

Nach dem Heartbleed-Bug haben viele Administratoren Zertifikate für TLS-Verbindungen ausgetauscht. Viele haben dabei jedoch einen fatalen Fehler begangen: Sie erstellten zwar ein neues Zertifikat, aber keinen neuen Schlüssel.

Artikel veröffentlicht am , Hanno Böck
Neues Zertifikat, kein neuer Key
Neues Zertifikat, kein neuer Key (Bild: Netcraft)

Nach dem Heartbleed-Bug lautete der Ratschlag an Systemadministratoren: Zertifikate müssen jetzt ausgetauscht werden. Denn im schlimmsten Fall ist ein Angreifer mittels Heartbleed in der Lage, die privaten Schlüssel zu einem Zertifikat zu extrahieren.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Universitätsstadt Marburg, Marburg

Viele Administratoren sind dem auch nachgekommen. Nach einer Statistik, die die Webseite Netcraft veröffentlicht hat, haben etwa 43 Prozent der von Netcraft beobachteten Webseiten nach Heartbleed ihre Zertifikate erneuert. Doch die Statistik von Netcraft zeigt auch, dass etwa sieben Prozent davon offenbar einen kapitalen Fehler begangen haben: Sie haben zwar ein neues Zertifikat erstellt, aber den kryptographischen Schlüssel, der Teil eines jeden Zertifikats ist, nicht geändert.

Damit ist der Austausch der Zertifikate völlig nutzlos. Denn das neue Zertifikat soll davor schützen, dass Angreifer möglicherweise bereits vor oder kurz nach der öffentlichen Bekanntgabe von Heartbleed private Schlüssel extrahiert haben. Doch wenn derselbe private Schlüssel auch für das neue Zertifikat gilt, kann ein Angreifer damit nach wie vor Verbindungen abhören.

Manche Zertifizierungsstellen bieten ihren Kunden an, Zertifikate nicht komplett neu zu erstellen, sondern lediglich zu "erneuern". Das bedeutet, dass der User seinen privaten Schlüssel weiterhin nutzen kann und lediglich das Zertifikat selbst austauschen muss. Sonderlich empfehlenswert ist das allerdings nicht: Da die Erzeugung eines neuen Schlüssels nichts kostet und nur wenige Sekunden dauert, ist es besser, generell bei einem neuen Zertifikat auch einen neuen Schlüssel zu verwenden.

Netcraft weist darauf hin, dass Zertifizierungsstellen ein solches Wiederverwenden des Schlüssels bei zurückgezogenen Zertifikaten generell unterbinden sollten. Wenn ein Zertifikat zurückgezogen wird, geht man, anders als bei einem abgelaufenen Zertifikat, in der Regel davon aus, dass der private Schlüssel nicht mehr als sicher angesehen werden kann. Die Zertifizierungsstellen müssten lediglich eine Liste der Schlüssel von zurückgezogenen Zertifikaten vorhalten und neue Zertifikate damit vergleichen.

Neben dem Problem mit den wiederverwendeten Schlüsseln beobachtete Netcraft, dass bei vielen neuen Zertifikaten die zugehörigen alten Zertifikate nicht zurückgezogen wurden. Das betrifft etwa die Hälfte der neuen Zertifikate. Ein Grund dafür dürfte sein, dass manche Zertifizierungsstellen für das Zurückziehen von Zertifikaten Geld verlangen. Allerdings: Das Zurückziehen von Zertifikaten mittels des CRL- oder OCSP-Protokolls ist sowieso weitgehend nutzlos. Insofern dürfte das Zurückziehen in der Praxis auch nur einen geringen Sicherheitsgewinn bringen.



Anzeige
Top-Angebote
  1. ab 589€ (Vergleichspreis Smartphone über 650€, Einzelpreis Tablet 129€)
  2. 469€ (Bestpreis!)
  3. 389€ (Vergleichspreis 488€)
  4. 99,99€ + USK-18-Versand (Die Bestellbarkeit könnte sich jederzeit ändern bzw. kurzfristig...

derdiedas 12. Mai 2014

... die meisten haben den Bug damit erledigt das Betroffene Produkt zu Patchen. Damit ist...

Ingwar 12. Mai 2014

Im Grundstudium haben wir sowas auch nicht gelernt - vielleicht einem der Schwerpunkte...

nirgendwer 11. Mai 2014

In dieser Kombination nicht unbedingt. Da hats doch wer nicht geglaubt und einen...

justanotherhusky 11. Mai 2014

Nicht böse sein, aber der einzig tiefere Sinn für wahrscheinlich 75% der...

neocron 11. Mai 2014

tolle auffassungsgabe!


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 1

In Teil 1 im Livestream zu Shadow of the Tomb Raider gibt es zahlreiche Grafik-Menüs, schöne Screenshots und Laras Start in die Apokalypse.

Shadow of the Tomb Raider - Golem.de live Teil 1 Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
    Oldtimer-Rakete
    Ein Satellit noch - dann ist Schluss

    Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
    Von Frank Wunderlich-Pfeiffer

    1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
    2. Chang'e 4 China stellt neuen Mondrover vor
    3. Raumfahrt Cubesats sollen unhackbar werden

    iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
    iPhone Xs, Xs Max und Xr
    Wer unterstützt die eSIM in den neuen iPhones?

    Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
    Von Tobias Költzsch

    1. Apple Das iPhone Xr macht's billiger und bunter
    2. Apple iPhones sollen Stiftunterstützung erhalten
    3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

      •  /