Wichtige Informationen zum Heartbleed-Bug

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Über cyon

Veröffentlicht am 10. Apr. 2014

Aktualisiert am 27. Feb. 2024

Der Heartbleed-Bug ist eine Sicherheitslücke in der Softwarebibliothek OpenSSL, die am 07. April 2014 bekannt geworden ist.

OpenSSL wird von einem Grossteil aller Server im Internet verwendet, um verschlüsselte Verbindungen zur Verfügung zu stellen. Auch auf unseren Servern kommt OpenSSL zum Einsatz, wobei nur ein Teil dieser Server vom Heartbleed-Bug betroffen war.

Was hat cyon unternommen?

Wir haben sofort nach Bekanntwerden des Bugs unsere Systeme geprüft und die Sicherheitslücke auf den betroffenen Servern geschlossen. Diesen Vorgang konnten wir im Verlaufe des 08. Aprils abschliessen. Aktuell sind alle unsere Server vor einer Attacke sicher, die auf der Heartbleed-Sicherheitslücke basiert.

Da die Sicherheitslücke bereits über zwei Jahre bestand, könnte diese in der Vergangenheit theoretisch ausgenutzt worden sein. Wir haben deshalb nach der Schliessung der Lücke unsere eigenen Sicherheitszertifikate neu ausstellen lassen.

Bin ich betroffen und was kann ich unternehmen?

Bis jetzt sehen wir keine Anzeichen, dass der Bug böswillig genutzt wurde. Wenn Sie alle Eventualitäten ausschliessen möchten, empfehlen wir Ihnen die Durchführung der folgenden beiden Massnahmen:

  1. Ändern Sie sämtliche Passwörter in Ihrem my.cyon-Konto.
  2. Aktivieren Sie die Zwei-Schritt-Verifizierung für Ihr my.cyon-Konto.

Zertifikatsfehler

Falls Sie Ihre E-Mails verschlüsselt abrufen und in Ihrem E-Mail-Programm den Servernamen mail.ihredomain.ch verwenden, erhalten Sie seit gestern Nachmittag eine Zertifikatswarnung, da das entsprechende Zertifikat neu ausgestellt wurde. In unserem Supportcenter finden Sie Informationen dazu, wie Sie bei einer solchen Zertifikatswarnung vorgehen können: Ich erhalte einen Zertifikatsfehler beim Abrufen meiner E-Mails.

Eigene Zertifikate

Ab dem Angebot Webhosting Double bieten wir Ihnen die Installation eines eigenen SSL-Zertifikats an. Diese eigenen Zertifikate auf unseren Webhosting- und Agencyservern waren nicht von Heartbleed betroffen. Selbstverständlich stellen wir Ihnen aber auf Wunsch einen neuen CSR aus, damit Sie damit das Zertifikat bei Ihrem Zertifikatsanbieter erneuern können. Die Installation des Zertifikats ist wie gewohnt kostenlos.

Falls Sie Fragen zu Heartbleed haben, schicken Sie uns eine E-Mail an mail@cyon.ch oder hinterlassen Sie uns einen Kommentar hier im Blog.

Beteilige dich an der Diskussion

8 Kommentare

Helmut
Helmut 16. Apr. 2014 15:06

Danke für den Update. Was mich gerade wieder zu meiner jährlichen Frage an Euch bringt: Wann bringt Ihr Shared SSL für alle Eure Hostingpakete? Das ist in der Zwischenzeit praktisch überall im Preis inbegriffen? Dass SSL früher bei fast allen Anbietern als bezahltes Addon angeboten wurde, lag am Ressourcenkonsum von SSL, doch die Zeiten dürften vorbei sein…

Allon Moritz
Allon Moritz 13. Apr. 2014 21:07

“Diese eigenen Zertifikate auf unseren Webhosting- und Agencyservern waren nicht von Heartbleed betroffen”
Ist das wirklich so? Soweit ich informiert bin kann der Private Key aus dem Ram ausgelesen werden, was bedeuten würde, dass der Traffic damit entschlüsselt werden kann. Habe meine Seite mit diesem Tool getestet http://www.first-security.com/de/heartbleed und sie war kurz nach der Veröffentlichung am 7. anfällig. Das würde bedeuten, dass doch der Private Key des Servers nicht mehr als sicher angesehen werden kann?

Philipp Zeder
Philipp Zeder cyon
14. Apr. 2014 09:26

Hallo Allon

Die auf den Webhosting- und Agencyservern eingesetzte OpenSSL-Version ist nicht vom Heartbleed-Bug betroffen. Die Version wurde nach Bekanntwerden auch nicht aktualisiert, daher müsstest Du noch immer das gleiche Resultat wie am 7. April erhalten.

Der Private-Key für die einzelnen Kundenzertifikate ist jeweils spezifisch nur für das passende Zertifikat gültig.

Fabian Schneider
Fabian Schneider 12. Apr. 2014 13:09

Hoppla, die Antwort war für Felix gedacht. :-) Tschuldigung!

Felix
Felix 11. Apr. 2014 16:15

Warum nicht einfach per SMS einen Code schicken wie bei Zahlungssoftware?
Euer Prinzip ist ja schon furchtbar, wenn man die Anleitung liest.

Fabian Schneider
Fabian Schneider 12. Apr. 2014 13:08

Sagt jemand der noch nicht wie wir, schon mehr als 10 jahre überzeugter cyon-kunde ist. Vielen Dank cyon-Team, ihr seid die besten!

Küffer Roland
Küffer Roland 11. Apr. 2014 18:54

Ich finde genau diese SMS Version zum kotzen. Nicht jeder hat immer einen SMS ZugAng zur Verfügung.
Cyon finde ich super

Andre
Andre 10. Apr. 2014 18:40

Besten Dank für den Update.