13 Apr
2014
13 Apr
'14
11:13 a.m.
Liebe trash.netter,
Alle Serverzertifikate von trash.net sind nun neu erstellt und aktiviert.
Das betrifft folgende Server und Dienste:
Mailservice:
mail.trash.net (SMTP, POP3S, IMAPS)
knox.trash.net (SMTP)
Webserver:
your.trash.net
cloud.trash.net
dspam.trash.net
beer.trash.net
Jabber:
jabber.trash.net
Die Zertifikate enthalten einen RSA Public Key mit 2048 Bits und sind mit
SHA512 RSA von CAcert Class 3 Root signiert. Damit sind womöglich
Client-Softwarepakete im Zugzwang, weil ältere Softwarepakete unter
Umständen das Verfahren SHA512 nicht enthalten und damit die Signatur der
Zertifikate nicht prüfen können.
Bisher ist nur Postfix zusammen mit OpenSSL 1.0.1 kompiliert und damit fähig
die erweiterten Ciphers von TLS 1.2 zu nutzen. Ab sofort ist nun OpenSSL
1.0.1 die offizielle Version von trash.net und die weiteren Dienste werden
nach und nach ebenfalls damit kompiliert werden. Dies bedeutet für ältere
Client-Softwarepakete eine weitere Hürde, weil die viel längere Liste von
Ciphers zu Problemen beim SSL-Handshake führen könnte.
Damit sollte nun auch die Gefährdung durch den Heartbleed Bug via Postfix
seit dem 23.2.2014 und indirekt über Dovecot beseitigt sein. Wer sich
darüber mittels Username/Passwort angemeldet hat, sollte sicherheitshalber
jetzt das Passwort ändern.
Bei Fragen und Bemerkungen stehe ich zur Verfügung
Gruss, Othmar
Sysadmin trash.net
Othmar Truniger
URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
-----Ursprüngliche Nachricht-----
Von: Othmar Truniger [mailto:truniger@bluewin.ch]
Gesendet: Samstag, 12. April 2014 15:42
An: 'announce(a)trash.net'
Betreff: Alle Zertifikate von trash.net revoked
Liebe trash.netter,
aus Sicherheitsgründen sind soeben alle Serverzertifikate von
trash.net revoked worden. Wer also seinen Zugriff auf einen
SSL-Service gegen die CRL von CAcert.org prüft, müsste nun
eine Fehlermeldung bekommen.
Der Hintergrund für diese Aktion ist die Verletzbarkeit von
Postfix durch den Heartbleed Bug, welcher durch die
Umstellung von Postfix auf OpenSSL seit dem 23.2.2014
ausnutzbar war. Der Bug ist nun behoben und nur Postfix war
bisher auf OpenSSL 1.0.1 basiert. Allerdings nutzt auch
Dovecot das selbe Zertifikat und wer auf Nummer sicher gehen
will, sollte auch sein Passwort ändern, da die Kommunikation
über POP3S und IMAPS auch nicht mehr als sicher betrachtet
werden kann. Aber erst nachdem die Serverzertifikate alle
ersetzt sind. Dies wird bis Sonntag Mittag erledigt sein,
heute habe ich leider keine Zeit mehr. Ich habe keine
direkten Indizien, dass wir aktiv attackiert worden sind. Das
Risiko ist klein, aber eine Attacke hinterlässt auch keine Spuren.
Die gute Nachricht: die neuen Zertifikate werden nach
aktuellen Sicherheitskriterien erstellt.
Die schlechte Nachricht: ältere Softwarepakete werden
womöglich Schwierigkeiten mit der Signaturprüfung haben, da
Cacert.org nun mit SHA512 und nicht mehr mit SHA1 signiert.
Bei Fragen und Bemerkungen stehe ich zur Verfügung
Gruss, Othmar
Sysadmin trash.net
Othmar Truniger
URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
____________________________________________________
3905
days inactive
3905
days old
0 comments
1 participants
participants (1)
-
Othmar Truniger