Wichtige Informationen zum Heartbleed-Bug

← zurück zum Blog

Der Heartbleed-Bug ist eine Sicherheitslücke in der Softwarebibliothek OpenSSL, die am 07. April 2014 bekannt geworden ist.

OpenSSL wird von einem Grossteil aller Server im Internet verwendet, um verschlüsselte Verbindungen zur Verfügung zu stellen. Auch auf unseren Servern kommt OpenSSL zum Einsatz, wobei nur ein Teil dieser Server vom Heartbleed-Bug betroffen war.

Was hat cyon unternommen?

Wir haben sofort nach Bekanntwerden des Bugs unsere Systeme geprüft und die Sicherheitslücke auf den betroffenen Servern geschlossen. Diesen Vorgang konnten wir im Verlaufe des 08. Aprils abschliessen. Aktuell sind alle unsere Server vor einer Attacke sicher, die auf der Heartbleed-Sicherheitslücke basiert.

Da die Sicherheitslücke bereits über zwei Jahre bestand, könnte diese in der Vergangenheit theoretisch ausgenutzt worden sein. Wir haben deshalb nach der Schliessung der Lücke unsere eigenen Sicherheitszertifikate neu ausstellen lassen.

Bin ich betroffen und was kann ich unternehmen?

Bis jetzt sehen wir keine Anzeichen, dass der Bug böswillig genutzt wurde. Wenn Sie alle Eventualitäten ausschliessen möchten, empfehlen wir Ihnen die Durchführung der folgenden beiden Massnahmen:

  1. Ändern Sie sämtliche Passwörter in Ihrem my.cyon-Konto.
  2. Aktivieren Sie die Zwei-Schritt-Verifizierung für Ihr my.cyon-Konto.

Zertifikatsfehler

Falls Sie Ihre E-Mails verschlüsselt abrufen und in Ihrem E-Mail-Programm den Servernamen mail.ihredomain.ch verwenden, erhalten Sie seit gestern Nachmittag eine Zertifikatswarnung, da das entsprechende Zertifikat neu ausgestellt wurde. In unserem Supportcenter finden Sie Informationen dazu, wie Sie bei einer solchen Zertifikatswarnung vorgehen können: Ich erhalte einen Zertifikatsfehler beim Abrufen meiner E-Mails.

Eigene Zertifikate

Ab dem Angebot Webhosting Double bieten wir Ihnen die Installation eines eigenen SSL-Zertifikats an. Diese eigenen Zertifikate auf unseren Webhosting- und Agencyservern waren nicht von Heartbleed betroffen. Selbstverständlich stellen wir Ihnen aber auf Wunsch einen neuen CSR aus, damit Sie damit das Zertifikat bei Ihrem Zertifikatsanbieter erneuern können. Die Installation des Zertifikats ist wie gewohnt kostenlos.

Falls Sie Fragen zu Heartbleed haben, schicken Sie uns eine E-Mail an mail@cyon.ch oder hinterlassen Sie uns einen Kommentar hier im Blog.

8 Kommentare

  1. Besten Dank für den Update.

  2. Warum nicht einfach per SMS einen Code schicken wie bei Zahlungssoftware?
    Euer Prinzip ist ja schon furchtbar, wenn man die Anleitung liest.

    • Ich finde genau diese SMS Version zum kotzen. Nicht jeder hat immer einen SMS ZugAng zur Verfügung.
      Cyon finde ich super

    • Sagt jemand der noch nicht wie wir, schon mehr als 10 jahre überzeugter cyon-kunde ist. Vielen Dank cyon-Team, ihr seid die besten!

  3. Hoppla, die Antwort war für Felix gedacht. :-) Tschuldigung!

  4. „Diese eigenen Zertifikate auf unseren Webhosting- und Agencyservern waren nicht von Heartbleed betroffen“
    Ist das wirklich so? Soweit ich informiert bin kann der Private Key aus dem Ram ausgelesen werden, was bedeuten würde, dass der Traffic damit entschlüsselt werden kann. Habe meine Seite mit diesem Tool getestet http://www.first-security.com/de/heartbleed und sie war kurz nach der Veröffentlichung am 7. anfällig. Das würde bedeuten, dass doch der Private Key des Servers nicht mehr als sicher angesehen werden kann?

    • Hallo Allon

      Die auf den Webhosting- und Agencyservern eingesetzte OpenSSL-Version ist nicht vom Heartbleed-Bug betroffen. Die Version wurde nach Bekanntwerden auch nicht aktualisiert, daher müsstest Du noch immer das gleiche Resultat wie am 7. April erhalten.

      Der Private-Key für die einzelnen Kundenzertifikate ist jeweils spezifisch nur für das passende Zertifikat gültig.

  5. Danke für den Update. Was mich gerade wieder zu meiner jährlichen Frage an Euch bringt: Wann bringt Ihr Shared SSL für alle Eure Hostingpakete? Das ist in der Zwischenzeit praktisch überall im Preis inbegriffen? Dass SSL früher bei fast allen Anbietern als bezahltes Addon angeboten wurde, lag am Ressourcenkonsum von SSL, doch die Zeiten dürften vorbei sein…

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog