Liebe trash.netter, aus Sicherheitsgründen sind soeben alle Serverzertifikate von trash.net revoked worden. Wer also seinen Zugriff auf einen SSL-Service gegen die CRL von CAcert.org prüft, müsste nun eine Fehlermeldung bekommen. Der Hintergrund für diese Aktion ist die Verletzbarkeit von Postfix durch den Heartbleed Bug, welcher durch die Umstellung von Postfix auf OpenSSL seit dem 23.2.2014 ausnutzbar war. Der Bug ist nun behoben und nur Postfix war bisher auf OpenSSL 1.0.1 basiert. Allerdings nutzt auch Dovecot das selbe Zertifikat und wer auf Nummer sicher gehen will, sollte auch sein Passwort ändern, da die Kommunikation über POP3S und IMAPS auch nicht mehr als sicher betrachtet werden kann. Aber erst nachdem die Serverzertifikate alle ersetzt sind. Dies wird bis Sonntag Mittag erledigt sein, heute habe ich leider keine Zeit mehr. Ich habe keine direkten Indizien, dass wir aktiv attackiert worden sind. Das Risiko ist klein, aber eine Attacke hinterlässt auch keine Spuren. Die gute Nachricht: die neuen Zertifikate werden nach aktuellen Sicherheitskriterien erstellt. Die schlechte Nachricht: ältere Softwarepakete werden womöglich Schwierigkeiten mit der Signaturprüfung haben, da Cacert.org nun mit SHA512 und nicht mehr mit SHA1 signiert. Bei Fragen und Bemerkungen stehe ich zur Verfügung Gruss, Othmar Sysadmin trash.net Othmar Truniger URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch ____________________________________________________