| View previous topic :: View next topic |
| Author |
Message |
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
|
| Back to top |
|
 |
cryptosteve
Veteran
Joined: 04 Jan 2004
Posts: 1169
Location: GER
|
 Posted: Tue Apr 08, 2014 11:02 am Post subject: |
 |
|
Auf meinem Gentoo-Server ist das Update auf openssl-1.0.1g ordnungsgemäß durchgelaufen. Die betroffenen Dienste habe ich neu gestartet. In wieweit ich die Zertifikate und Schlüssel noch tauschen muss, muss ich nochmal genauer nachlesen.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
| Back to top |
|
|
Josef.95
Advocate
Joined: 03 Sep 2007
Posts: 4544
Location: Germany
|
|
| Back to top |
|
|
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
| Posted: Tue Apr 08, 2014 2:27 pm Post subject: |
|
|
Das war erst noch nicht raus  |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1923
Location: Schweiz
|
| Posted: Wed Apr 09, 2014 12:48 pm Post subject: |
|
|
| Quote: | | As private keys may have been compromised using the Heartbleed attack, it is recommended to regenerate them. |
Wenn ich diesen Satz richtig verstanden habe wird einem hier empfohlen den privaten Schlüssel der selbst erstellten Zertifikate auszutauschen. Nur wie man das macht steht da nicht und in meinem "app-crypt/xca" lässt sich dazu auch nichts finden.
Was jetzt? OpenSSL ist auf der Konsole alles andere als benutzerfreundlich.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
|
arfe
Apprentice
Joined: 24 Aug 2005
Posts: 298
Location: Essen
|
| Posted: Wed Apr 09, 2014 2:03 pm Post subject: |
|
|
Was wohl? Einfach eine neue keyphrase eingeben.
Und wozu brauchst Du bei openssl eine GUI? Vielleicht verwendest Du einfach nur das falsche OS! |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Wed Apr 09, 2014 2:11 pm Post subject: |
|
|
Nein, nur eine neue keyphrase hilft _nicht_, den der Key liegt ungeschützt im Speicher des Servers, er muss ihn ja schließlich verwenden.
Es müssen neue Schlüssel, neue Zertifikate erzeugt und die alten Zertifikate Widerrufen werden, ansonsten ist es Sinn frei.
Bye
Py
@Arfe Könntest Du dir bitte die dummen Kommentare verkneifen? |
|
| Back to top |
|
|
arfe
Apprentice
Joined: 24 Aug 2005
Posts: 298
Location: Essen
|
| Posted: Wed Apr 09, 2014 2:21 pm Post subject: |
|
|
| py-ro wrote: | | @Arfe Könntest Du dir bitte die dummen Kommentare verkneifen? |
Du kennst schmidicom noch nicht. 
Er möchte bei Gentoo die Funktionalität eines Windows 7 Desktops. |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Wed Apr 09, 2014 2:24 pm Post subject: |
|
|
| Ja, und? Ist trotzdem kein Grund. Aber das wird hier jetzt zu OT. |
|
| Back to top |
|
|
Finswimmer
Bodhisattva
Joined: 02 Sep 2004
Posts: 5467
Location: Langen (Hessen), Germany
|
| Posted: Wed Apr 09, 2014 2:32 pm Post subject: |
|
|
@Arfe: Bitte unterlasse solche Kommentare. Auf eine normale Frage sollte auch normal geantwortet haben.
Falls Dir die Art von schmidicom nicht gefällt, dann antworte nicht...
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1923
Location: Schweiz
|
| Posted: Wed Apr 09, 2014 2:47 pm Post subject: |
|
|
| py-ro wrote: | Nein, nur eine neue keyphrase hilft _nicht_, den der Key liegt ungeschützt im Speicher des Servers, er muss ihn ja schließlich verwenden.
Es müssen neue Schlüssel, neue Zertifikate erzeugt und die alten Zertifikate Widerrufen werden, ansonsten ist es Sinn frei. |
Sowas habe ich schon befürchtet aber wenigstens hält sich der Aufwand dafür bei mir noch in grenzen, nur wie machen das eigentlich die großen CA's?
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Wed Apr 09, 2014 2:57 pm Post subject: |
|
|
Die CAs? Die bekommen nur CSR und zeichnen die ab.
Ansonsten reine fleiß Arbeit. |
|
| Back to top |
|
|
schmidicom
Veteran
Joined: 09 Mar 2006
Posts: 1923
Location: Schweiz
|
| Posted: Thu Apr 10, 2014 5:57 am Post subject: |
|
|
| py-ro wrote: | Die CAs? Die bekommen nur CSR und zeichnen die ab.
Ansonsten reine fleiß Arbeit. |
Mit CA's meinte ich solche Zertifizierungsstellen wie Beispielweise VeriSign und was die machen wenn deren Schlüssel zum RootCA (ob nun durch einen Softwarebug oder einfachen Diebstahl) kompromittiert ist.
Inzwischen ist auf Heise noch ein Artikel mit etwas mehr Informationen zu diesem Thema online gegangen. Also nach dem was ich dort lese ist der Schlüssel zum Zertifikat technisch gesehen in Ordnung, nur besteht durch die Lücke einfach die Möglichkeit das er gestohlen worden sein könnte. Aber da meine RootCA nicht auf einem vom Internet aus erreichbaren Server liegt müsste diese ja eigentlich sicher sein, oder?
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
| Back to top |
|
|
py-ro
Veteran
Joined: 24 Sep 2002
Posts: 1734
Location: Velbert
|
| Posted: Thu Apr 10, 2014 8:00 am Post subject: |
|
|
| Die CA Keys sind für gewöhnlich nicht auf erreichbaren Systemen gespeichert und für normale Anwendungen auch nicht nötig. Man könnte theoretisch das Root Zertifikat mit Key nutzen, aber das wäre absolut unüblich und dämlich. |
|
| Back to top |
|
|
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
|
| Back to top |
|
|
ChrisJumper
Advocate
Joined: 12 Mar 2005
Posts: 2390
Location: Germany
|
| Posted: Thu Apr 10, 2014 6:48 pm Post subject: |
|
|
Fefe hat dazu einen Artikel bei der FAZ geschrieben.
Bisher ging ich der Vermutung nach das man bei openssl auch auf der Sicheren Seite war wenn das Useflag tls-heartbeat nicht gesetzt wurde. Aber ja besser ist es neue Schlüssel zu generieren. |
|
| Back to top |
|
|
forrestfunk81
Guru
Joined: 07 Feb 2006
Posts: 565
Location: münchen.de
|
| Posted: Sat Apr 12, 2014 9:38 am Post subject: |
|
|
| py-ro wrote: | | Die CA Keys sind für gewöhnlich nicht auf erreichbaren Systemen gespeichert und für normale Anwendungen auch nicht nötig. Man könnte theoretisch das Root Zertifikat mit Key nutzen, aber das wäre absolut unüblich und dämlich. |
Ich benutze keine CA Keys sondern self-signed Zertifikate. Wie ist das damit? Laut einem Artikel aus dem alten Gentoo Wiki (leider nicht mehr online) sollte man die Keys folgendermaßen erstellen:
| Code: | | openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout server.key -out server.crt |
Das ergibt dann den privaten Key server.key und das zugehörige Zertifikat server.crt. Für Apache sind die so angegeben:
| Code: |
# grep SSLCertificate /etc/apache2/vhosts.d/00_default_ssl_vhost.conf
SSLCertificateFile /etc/ssl/apache2/server.crt
SSLCertificateKeyFile /etc/ssl/apache2/server.key |
So wie ich das verstanden habe, besteht die Möglichkeit, dass mein privater Key (server.key) ausgelesen wurde. Deshalb habe ich beides mal ausgetauscht und hoffe, damit auf der sicheren Seite zu sein.
_________________
# cd /pub/
# more beer |
|
| Back to top |
|
|
cryptosteve
Veteran
Joined: 04 Jan 2004
Posts: 1169
Location: GER
|
| Posted: Sat Apr 12, 2014 7:07 pm Post subject: |
|
|
| ChrisJumper wrote: | | Bisher ging ich der Vermutung nach das man bei openssl auch auf der Sicheren Seite war wenn das Useflag tls-heartbeat nicht gesetzt wurde. Aber ja besser ist es neue Schlüssel zu generieren. |
Nach meinem Verständnis ist ein System mit nicht gesetztem tls-heartbeat in dieser Hinsicht nicht anfällig. Demnach besteht hier auch keine Notwendigkeit, die Schlüssel neu zu erstellen. Voraussetzung ist allerdings, dass die Keys und Zertifikate auch wirklich nur auf diesem System genutzt werden bzw. wurden.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
| Back to top |
|
|
|
Deutsches Forum (German)
