Kritische SSL-Sicherheitslücke Heartbleed erschüttert die Welt

Die Information diesen Morgen schlug ein, wie eine Bombe: Über einen kritischen Bug in einer weltweit eingesetzten SSL-Software lassen sich unter Umständen die für die Verschlüsselung verwendeten SSL-Keys auslesen. Aus Verschlüsselungssicht ist das der Super-GAU, können damit prinzipiell die verschlüsselten Verbindungen dechiffriert werden.

Betroffen sind fast alle derzeit eingesetzten Server-Systeme — Administratoren überall auf der Welt sind fieberhaft mit dem Einspielen korrigierter Softwareversionen beschäftigt, die zum Glück bereits größtenteils verfügbar sind.

Auch die Systeme von mailbox.org sind von dem Bug betroffen. Neue Versionen werden von unserem Admin-Team gerade ausgerollt und sind in wenigen Minuten eingespielt.

Allerdings setzt mailbox.org seit jeher konsequent auf „Perfect Forward Secrecy“ (PFS), eine besondere Technik, mit der für jede SSL-Verbindung ein individueller Sitzungsschlüssel verwendet wird. Dies soll verhindern, dass eine einmal aufgezeichnete Verbindung nachträglich decodiert werden kann, wenn der Schlüssel bekannt wird — also genau ein Schutz vor dem GAU, der jetzt passiert ist.

Die Systeme von mailbox.org sind darum ebenso wie alle anderen von dem Problem betroffen, die möglichen Auswirkungen halten sich bei uns jedoch Dank PFS in Grenzen. Schön ist die Sache trotzdem nicht.

UPDATE: Alle Systeme von mailbox.org sind bereits seit 12 Uhr aktualisiert, die Sicherheitslücke besteht bei uns nicht mehr! Die Keys der Server sind bereits fast vollständig ausgetauscht, der Rest wird noch umgehend getauscht.

Weitere Links: Technische Dokumentation, Heartbleed-Tester