12. April 2014
Herzblut getestet
So, just in case, it is really possible to extract a private key using a heartbleed vulnerability. It is not an abstract threat. Get new key
Das ging ja dann doch recht schnell. Cloudflare, eine der Wolken im Internet, hatte zum Wettbewerb aufgerufen. Sie setzten einen frischen Server mit Open-SSL auf, dem das Herzblut aus einem Loch tröpfelte. Binnen einer Nacht konnte zwei unabhängige Tests den SSL-Key auslesen.
We confirmed that both of these individuals have the private key and that it was obtained through Heartbleed exploits.
Die Frage ist und bleibt, welche praktische Bedeutung das in der Masse hat. Zumindest ist jetzt eines klar. Wer diese Versionen von Open-SSL im Einsatz hatte, der muß alles ändern, denn die privaten SSL-Schlüssel sind mit entsprechendem Aufwand kompromittierbar.
Und je nachdem, wozu dieser private Schlüssel noch genutzt wurde, ist wohl die gesamte Infrastruktur im Arsch.
So, nun ist wieder mal das BSI nebst gmx, web und 1&1 an der Reihe. Sie mögen erklären, welche SSL-Versionen sie zur Verschlüsselung des Netzwerkverkehrs im Einsatz haben. Schließlich habe sie vollmundig die deutsche Geheiminitiative ins Leben gerufen.