DigiCert QuoVadis

News/Events

Heartbleed Fehler in OpenSSL - Kundeninformation
9 Apr 2014

Eine neue Bedrohung, genannt Heartbleed Fehler, hat signifikante Auswirkungen auf Systeme die Open SSL benutzen.

Detaillierte Informationen finden Sie auf Englisch unter: 

Heartbleed greift die SSL/TLS heartbeat Erweiterung (RFC 6520) in OpenSSL an und erlaubt es dem Angreifer den Speicher des betroffenen Systems auszulesen. Dies kann es dem Angreifer erlauben die privaten Schlüssel, sowie geschützte Benutzernamen, Passwörter und Daten auszulesen. Ein bereits erfolgter Angriff wird nicht protokolliert und ist damit schwer zu erkennen.

Heartbleed ist weder ein Fehler in der SSL/TLS Protokoll Spezifikation, noch ein Fehler im System der digitalen Zertifikate oder Zertifikatsausteller(CA). Es handelt sich dabei um einen Fehler in spezifischen Versionen der OpenSSL Implementierung:

  • Der Fehler betrifft OpenSSL Version 1.0.1 bis 1.0.1f. Die Schwachstelle erschien erstmals im März 2012. 
  • OpenSSL Version 1.0.1g, veröffentlicht am 7. April 2014, behebt den Fehler. 
  • Alle 0.9.8 und 1.0.0 Versionen von OpenSSL sind nicht betroffen.

Der Heartbleed Fehler hat Auswirkungen auf Server und Client Systeme. OpenSSL wird beispielsweise im Apache HTTP Server und NGINX eingesetzt. Aber auch Betriebssysteme wie Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 and 5.4, FreeBSD 8.4 and 9.1, NetBSD 5.0.2 and OpenSUSE 12.2 setzen OpenSSL ein.

Wir empfehlen unseren Kunden die weiterführenden Links zu beachten und ihre Seite auf die Verwundbarkeit zu testen: https://www.ssllabs.com/ssltest/

QuoVadis Trustlink Schweiz empfiehlt betroffenen Kunden folgendes Vorgehen:

  • Aktualisieren Sie das System auf eine OpenSSL Version 1.0.1g oder höher 
  • Erneuern Sie Ihre SSL Zertifikate auf Basis eines neuen Zertifikatsrequestes (CSR).
    Bestehende Kunden können uns kurzfristig und formlos (ohne Antragsformular) den neuen CSR an die folgende E-Mail Adresse senden: register.ch(at)quovadisglobal.com

Kostenlose Umstellung für QuoVadis Kunden: 
Die Restlaufzeit des zu ersetzenden Zertifikates rechnen wir Ihnen an.