Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

Zitat:

Ein äußerst schwerwiegender Programmierfehler gefährdet offenbar Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Angesichts der Verbreitung der OpenSource-Bibliothek eine ziemliche Katastrophe. Die Entwickler von OpenSSL veröffentlichen ein Update ihrer weit verbreiteten Verschlüsselungsbibliothek, das äußerst schlechte Nachrichten transportiert: Ein Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Konkret bedeutet das: Ein Angreifer kann Schlüssel, Passwörter und andere geheime Daten klauen.....

Weitere Infos so wie die Quelle

Tja, da wurde die Idee vom OpenWeb wohl etwas zu vorschnell umgesetzt!

scnr

Ist das denn mittlerweile wieder bereinigt? Wie bereits erwähnt, beschäftige ich mich auch gerade hier auf der 1und1 Homepage mit dem Website erstellen und habe ebenfalls über ein SSL-Zertifikat nachgedacht! Muss man sich da noch Sorgen machen?

Ja, die Entwickler haben zwar den Bug gepatcht, doch es liegt ja zum Schluss in der Verantwortung der Serverbetrieber, diese Änderungen auch auf dem Server einzuspielen. Darüber hinaus können Zertifikate, die vor dem Heartbleed-Bug ausgestellt wurden, nicht mehr als vertrauenswürdig angesehen werden.

Hat ein Serverbetreiber jedoch nach dem Heartbleed-Bug die OpenSSL-Version geupdatet und ein neues Zertifikat installiert, so braucht man sich keine Sorgen machen. I.d.R. haben das alle großen und bekannten Webseitenbetreiber längst erledigt. Es ist aber davon auszugehen, dass weiterhin verwundbare Server im Internet erreichbar sind.

Ob eine Domain vertrauenswürdig ist kann man unter

https://de.ssl-tools.net/heartbleed-test

testen.

1&1 gehört zu den "Hechten im Karpfenteich" - die haben natürlich ihre Haushaufgaben gemacht. Also: Kein Grund zur Sorge!

Bestens, gut zu wissen, dank dir!

Auf jeden Fall beruhigend