SSL Zertifikate

[D1ngDong]

Hallo,

da ich letzte Woche ein SSL-Zertifikat bei einem Gewinnspiel von Estugo.de gewonnen habe, möchte ich mich hier noch einmal über das Thema Hearthbleed informieren.

Ist dieses Problem nun schon gelöst oder besteht dieses immer noch?

Wenn ja, ist es dann trotzdem sicherer ein SSL einzubinden oder nicht.

Bitte um Info

Beste Grüße

[carstenj]

Hi,

wenn du die neueste Version von SSL einsetzt, ist das kein Problem mehr. Ansonsten sagt Wikipedia:

Am 7. April 2014 hat das OpenSSL-Team einen Sicherheitshinweis des Inhalts herausgegeben, dass die OpenSSL-Versionen 1.0.1 bis einschließlich 1.0.1f, sowie 1.0.2-beta bis einschließlich 1.0.2-beta1[12] vom sogenannten Heartbleed-Bug[13] betroffen seien. Es ist jedoch möglich, OpenSSL ohne die fehlerhafte Heartbeat-Komponente zu kompilieren (-DOPENSSL_NO_HEARTBEATS), eine so kompilierte Version war dadurch auch gegen einen Heartbleed-Angriff immun.[14]

Die Sicherheitslücke bestand insgesamt für 27 Monate, bis sie unabhängig voneinander von Antti Karjalainen (Codenomicon, Oulu, Finnland) und Neel Mehta (Google Security) entdeckt[15][16][17] und behoben wurde.[18] Bereits vor dem öffentlichen Bekanntwerden des Fehlers waren einige Anbieter informiert[19], die daraufhin bereits ihre Systeme absicherten.[20]

Heartbleed

Abgesehen davon ist deine Frage im Grunde unvollständig, weil nicht SSL oder Zertifikate an sich das Problem hatten, sondern speziell OpenSSL.