Abo
  • Services:
Anzeige
OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
(Bild: Screenshot Golem.de)

Gefährdete Zertifikate und Passwörter

Webseitenbetreiber sollen Zertifikate austauschen. Was muss man dabei beachten und wie kooperativ verhalten sich die Zertifizierungsstellen?

Wichtig ist, dass man nicht einfach ein bestehendes Zertifikat erneuert, sondern ein komplett neues Zertifikat mit einem neuen privaten Schlüssel erstellt. Wichtig ist auch zu überprüfen, dass das alte Zertifikat von der entsprechenden Zertifizierungsstelle wirklich zurückgezogen wurde. Das kann man beispielsweise mit dem OCSP-Tool von OpenSSL testen, die Bedienung ist allerdings nicht gerade nutzerfreundlich.

Anzeige

Die Zertifizierungsstellen reagieren offenbar sehr unterschiedlich. Einige Nutzer zeigten sich verärgert über StartSSL. Die Zertifizierungsstelle ist sehr beliebt, weil man dort einfache Zertifikate kostenlos erhält. Doch um ein solches Zertifikat neu zu erstellen, muss man zunächst das alte zurückziehen lassen. Und das kostet pro Zertifikat 24,90 US-Dollar. Zahlenden Kunden erlässt StartSSL offenbar die Kosten. Der Autor dieses Artikels konnte ein Wildcard-Zertifikat kostenlos zurückziehen.

Laut einem Bericht von Heise werden von GlobalSign Zertifikate kostenlos ausgetauscht, Kunden müssen sich dafür im Kundencenter anmelden. Ein von Comodo ausgestelltes Zertifikat konnte vom Autor dieses Artikels ebenfalls kostenlos ersetzt werden. Die Pressestelle der Symantec-Tochter Verisign, der weltweit größten Zertifizierungsstelle, hat uns mitgeteilt, dass ein Austausch von Zertifikaten dort ebenfallskostenlos möglich ist.

Müssen auch Passwörter ersetzt werden?

Es gibt zahlreiche Berichte, wonach mit Hilfe des Heartbleed-Bugs Passwörter von Web-Services ausgelesen werden konnten. Offenbar war hier besonders Yahoo anfällig und hat relativ lange zur Aktualisierung seiner Server gebraucht. Insofern lautet die Antwort: Im Zweifelsfall ja.

Was ist diese Heartbeat-Erweiterung eigentlich?

Heartbeat ist eine Erweiterung für TLS und wurde im IETF-Standard RFC 6520 spezifiziert. Sie ermöglicht es, bei langlebigen TLS-Verbindungen regelmäßig ein sogenanntes Keep-Alive-Signal zu senden, um einen Abbruch der Verbindung zu verhindern. Gängige Anwendungen wie HTTPS-Server benötigen so etwas eigentlich nicht. Aber der Code ist standardmäßig in OpenSSL aktiviert.

Felix von Leitner vom Chaos Computer Club ist der Meinung, dass das Heartbeat-Protokoll unnötig komplex ist und solche Fehler geradezu provoziert.

Wieso passiert so etwas überhaupt und ist C daran Schuld?

Bei Heartbleed wird aufgrund eines Fehlers zu viel Speicher ausgelesen. Eine detaillierte Analyse des C-Codes mit dem Heartbleed-Bug gibt es im Blog des Programmierers Sean Cassidy. Das Problem: Programme, die in der Programmiersprache C geschrieben sind, haben eine relativ simple Speicherverwaltung. Wenn ein Programm Variablen nutzt oder Speicherblöcke via malloc anfordert, werden diese einfach hintereinander im Speicher abgelegt. Wenn jetzt das Programm einen Speicherblock ausliest und dabei zu viele Daten einliest, wird einfach weitergelesen - was auch immer da im Speicher steht.

Es gilt aus diesem Grund als extrem schwierig, in C wirklich sicheren Code zu schreiben. Das ändert aber nichts daran, dass C nach wie vor die mit Abstand wichtigste Programmiersprache überhaupt ist. Praktisch alle Betriebssysteme und wichtigen Basisbibliotheken sind in C geschrieben.

Es gibt eine LLVM-Erweiterung namens Softbound CETS, die versucht, entsprechende Sicherheitslücken in C zu verhindern, indem das Auslesen von Speicherbereichen auf den ihnen zugewiesenen Speicherbereich beschränkt wird. Auf dem 30C3 gab es dazu einen Vortrag von Andreas Bogk vom Chaos Computer Club.

Das OpenBSD-Betriebssystem hat bereits in Ansätzen derartige Schutzmaßnahmen in den Funktionen malloc und mmap. Diese hätten bei Heartbleed greifen müssen, allerdings - darauf weist OpenBSD-Entwickler Theo de Raadt in einer Mail hin - wurden diese von OpenSSL umgangen. OpenSSL nutzt nicht die normalen Speicherverwaltungs-Aufrufe des Betriebssystems, sondern ersetzt sie durch eine eigene Speicherverwaltung.

Wie läuft die Entwicklung von OpenSSL ab?

Obwohl OpenSSL von unzähligen Programmen und großen Unternehmen genutzt wird, hat es nur ein relativ kleines Entwicklerteam. Viele fordern daher, dass das Projekt mehr Unterstützung erhält. So schreibt beispielsweise der Kryptograph Matthew Green: "Während einige der großen Firmen ihre Server patchen, können sie vielleicht überlegen, ob sie den OpenSSL-Entwicklern etwas Bezahlung zukommen lassen, damit diese ihren Job besser erledigen können."

Eine große Firma, die OpenSSL bereits unterstützt, ist Google. Der Suchmaschinenkonzern plant, seinen Browser Chrome von NSS auf OpenSSL umzustellen. Der Google-Angestellte Adam Langley ist bereits jetzt ein aktiver Entwickler bei OpenSSL.

Wie lief die Entdeckung und Veröffentlichung von Heartbleed ab?

Heartbleed wurde unabhängig von Mitarbeitern der finnischen Firma Codenomicon und von Neel Metha vom Google-Sicherheitsteam entdeckt. Beide teilten ihre Ergebnisse den OpenSSL-Entwicklern mit.

Die Veröffentlichung lief offenbar etwas chaotisch ab. Eigentlich war noch eine zweitägige Wartephase zwischen den Beteiligten vereinbart worden, aber irrtümlich wurden bereits Informationen über den Bug im Netz veröffentlicht. Wer dafür verantwortlich war, konnten wir nicht nachvollziehen. Auf der Mailingliste oss-security gibt es zum Veröffentlichungsablauf einen längeren Thread.

Die großen Linux-Distributionen hatten aufgrund des chaotischen Ablaufs vorab von der Veröffentlichung nichts gewusst und konnten somit erst mit einigen Stunden Verspätung reagieren. Offenbar wusste die Firma Cloudflare bereits eine Woche vorher Bescheid und hatte ihre Server bereits abgesichert. Cloudflare ist ein großer Anbieter von Content-Delivery-Netzwerken.

Was bedeutet eigentlich CVE-2014-0160?

Die US-Organisation MITRE vergibt für Sicherheitslücken üblicherweise eine sogenannte CVE-ID, mit der diese eindeutig identifiziert und referenziert werden können. Sie enthalten immer eine Jahreszahl und eine dem jeweiligen Problem zugewiesene Nummer. MITRE ist eine Forschungsorganisation und agiert hauptsächlich im Auftrag der US-Regierung, CVE steht für Common Vulnerabilities and Exposures. Der Heartbleed-Bug hat die ID CVE-2014-0160 erhalten.

Wie kann man testen, ob ein Service oder eine Software von Heartbleed betroffen ist?

Es gibt zahlreiche Webseiten, die das Testen von Servern ermöglichen, teilweise nur für den HTTPS-Port, teilweise auch für andere Services. Auch der beliebte SSL-Test der Firma Qualys prüft inzwischen auf Heartbleed.

Daneben sind auf Github zahlreiche Tests veröffentlicht worden, häufig genutzt ist etwa dieses Python-Testscript. Ein anderes auf Github veröffentlichtes Script kann auch Services mit STARTTLS-Erweiterung prüfen. Auch für Client-Anwendungen gibt es inzwischen Tests in Python und in Ruby.

Nachtrag vom 10. April 2014, 10:00 Uhr

Wir haben im Abschnitt "Was ist mit Android?" eine Information hinzugefügt (Version 4.1.1 betroffen) und den letzten Absatz zu Tests für Client-Applikationen ergänzt.

Nachtrag vom 10. April 2014, 11:19 Uhr

Von Verisign wurde uns mitgeteilt, dass dort ein kostenloser Tausch der Zertifikate ebenfalls möglich ist, wir haben dies im Artikel ergänzt.

Nachtrag vom 10. April 2014, 12:02 Uhr

Wir hatten ursprünglich fälschlicherweise im Abschnitt "Welche Programme benutzen OpenSSL?" geschrieben, dass Opera betroffen sei. Opera nutzt zwar OpenSSL, deaktiviert jedoch die Heartbeat-Funktionalität. Der Text wurde entsprechend angepasst.

 OpenSSL: Wichtige Fragen und Antworten zu Heartbleed

eye home zur Startseite
mnementh 22. Apr 2014

Hahahahahaha ROFL LOL Schön dass einige noch an den Weihnachtsmann glauben.

mnementh 22. Apr 2014

Es gibt verschiedene CSS-Layouts für Fefes Blog und ist die erste Antwort in seiner FAQ...

GodsBoss 19. Apr 2014

Richtig, nicht umsonst schrieb Richard Stallman seinen Artikel Open Source Misses The...

a user 14. Apr 2014

darauf wird man sich sicher nicht einigen, weild as so falsch ist. ich verstehe nicht...

PeterK 14. Apr 2014

Danke für deinen Beitrag. Ich respektiere deine Meinung. Aber nach meinem aktuellen...



Anzeige

Stellenmarkt
  1. MediaMarktSaturn IT Solutions, Ingolstadt, München
  2. über Ratbacher GmbH, Großraum Würzburg
  3. Simovative GmbH, München
  4. LuK GmbH & Co. KG, Bühl


Anzeige
Top-Angebote
  1. 47,99€
  2. und For Honor oder Ghost Recon Wildlands kostenlos erhalten
  3. (-17%) 49,99€ - Release am Donnerstag

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Energielabels

    Aus A+++ wird nur noch A

  2. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  3. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  4. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  5. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  6. Ab 2018

    Cebit findet künftig im Sommer statt

  7. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  8. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  9. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme

  10. Stack Overflow

    Deutsche Entwickler fühlen sich unterbezahlt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
BSI: Schützt euer Owncloud vor Feuer und Wasser!
BSI
Schützt euer Owncloud vor Feuer und Wasser!
  1. VoIP Deutsche Telekom hatte Störung der IP-Telefonie
  2. Alte Owncloud und Nextcloud-Versionen Parteien und Ministerien nutzen unsichere Cloud-Dienste
  3. NFC Neuer Reisepass lässt sich per Handy auslesen

P10 und iPhone im Porträttest: Huawei machts besser als Apple
P10 und iPhone im Porträttest
Huawei machts besser als Apple
  1. AgilePOL Huawei sieht FTTH als "die Zukunft für Netzbetreiber"
  2. Smartphone Huaweis P10 Lite kommt für 350 Euro
  3. Android-Smartphone Huawei Y6 II Compact bei Aldi-Süd für 130 Euro

Vernetztes Fahren: Die Pseudo-Tests auf der Autobahn 9
Vernetztes Fahren
Die Pseudo-Tests auf der Autobahn 9
  1. Autonomes Fahren Die Ära der Kooperitis
  2. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  3. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank

  1. Re: Gehört integriert...

    PocketIsland | 06:48

  2. Re: Wenn ich tatsächlich 45.000 verdienen würde

    Hakuro | 06:46

  3. Re: Macht das nicht fast jeder mit WhatsApp oder...

    johnripper | 06:45

  4. Selbst 4k sind zu wenig..

    PocketIsland | 06:44

  5. Der Kniefall der EU-Kommission vor der Industrie

    DerHarzer | 06:42


  1. 18:59

  2. 18:42

  3. 18:06

  4. 17:39

  5. 17:10

  6. 16:46

  7. 16:26

  8. 16:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel