Unsere SSL-Schlüssel sind nach Heartbleed wieder sicher — Zertifikate zurückgezogen
Nachdem vergangenen Dienstag der sogenannte Heartbleed-Bug die Sicherheit aller Server der Welt erschüttert hatte, haben fast alle Server-Administratoren umgehend damit begonnen, die SSL-Zertifikate der Web- und Mailserver auszutauschen. Der Hintergrund: Es konnte nicht mehr ausgeschlossen werden, dass Angreifer die heiklen SSL-Schlüssel der Server hätten auslesen können und damit auch SSL-verschlüsselte Kommunikation (https & Co) hätten mitlesen können. Auch wir von mailbox.org haben bereits zwei Stunden nach Bekanntwerden des Heartbleed-Problems alle wichtigen SSL-Schlüssel ausgetauscht. — Eine Rekordzeit, auf die wir ehrlich gesagt auch etwas stolz sind.
Viele Administratoren haben allerdings die Auswirkungen des Heartbleed-Disasters noch nicht vollständig erfasst. Da davon ausgegangen werden muss, dass Dritte in den Besitz von SSL-Serverschlüsseln gelangt sein könnten, reicht es nicht aus, einfach nur den bisherigen Schlüssel gegen neue Keys zu tauschen. Die alten Schlüssel müssen zurückgezogen und für ungültig erklärt werden. Sonst hätten Dritte nach wie vor gültige Schlüssel und könnten diese für Man-in-the-middle-Angriffe benutzen. Wer also nur Keys tauscht, ohne sich um eventuell abhanden gekommene Keys zu kümmern, hat die Dimension des Problems nicht verstanden.
Aus diesem Grunde haben wir von mailbox.org auch veranlasst, dass die alten SSL-Schlüssel auch tatsächlich zurückgezogen und in den Datenbanken für ungültig erklärt gespeichert wurden. Selbst wenn Schlüssel abhanden gekommen sein sollten, würden diese von aktuellen Browsern bereits nicht mehr als gültig akzeptiert werden und wären damit nun wertlos.
Die Server von mailbox.org sind damit nach dem Heartbleed-Bug wieder sicher — soweit und so gut wie man das in heutigen Zeiten behaupten kann.
Nutzer von mailbox.org könnten jetzt überlegen, ob sie zur Sicherheit alle Passwörter und Zugangsdaten ändern. -Aber das nicht nur bei uns, sondern bei allen genutzten Diensten im Internet.