View previous topic :: View next topic |
Author |
Message |
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
|
Back to top |
|
|
cryptosteve Veteran
Joined: 04 Jan 2004 Posts: 1169 Location: GER
|
Posted: Tue Apr 08, 2014 11:02 am Post subject: |
|
|
Auf meinem Gentoo-Server ist das Update auf openssl-1.0.1g ordnungsgemäß durchgelaufen. Die betroffenen Dienste habe ich neu gestartet. In wieweit ich die Zertifikate und Schlüssel noch tauschen muss, muss ich nochmal genauer nachlesen. _________________ - born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
Back to top |
|
|
Josef.95 Advocate
Joined: 03 Sep 2007 Posts: 4544 Location: Germany
|
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Tue Apr 08, 2014 2:27 pm Post subject: |
|
|
Das war erst noch nicht raus |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1923 Location: Schweiz
|
Posted: Wed Apr 09, 2014 12:48 pm Post subject: |
|
|
Quote: | As private keys may have been compromised using the Heartbleed attack, it is recommended to regenerate them. |
Wenn ich diesen Satz richtig verstanden habe wird einem hier empfohlen den privaten Schlüssel der selbst erstellten Zertifikate auszutauschen. Nur wie man das macht steht da nicht und in meinem "app-crypt/xca" lässt sich dazu auch nichts finden.
Was jetzt? OpenSSL ist auf der Konsole alles andere als benutzerfreundlich. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
arfe Apprentice
Joined: 24 Aug 2005 Posts: 298 Location: Essen
|
Posted: Wed Apr 09, 2014 2:03 pm Post subject: |
|
|
Was wohl? Einfach eine neue keyphrase eingeben.
Und wozu brauchst Du bei openssl eine GUI? Vielleicht verwendest Du einfach nur das falsche OS! |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Wed Apr 09, 2014 2:11 pm Post subject: |
|
|
Nein, nur eine neue keyphrase hilft _nicht_, den der Key liegt ungeschützt im Speicher des Servers, er muss ihn ja schließlich verwenden.
Es müssen neue Schlüssel, neue Zertifikate erzeugt und die alten Zertifikate Widerrufen werden, ansonsten ist es Sinn frei.
Bye
Py
@Arfe Könntest Du dir bitte die dummen Kommentare verkneifen? |
|
Back to top |
|
|
arfe Apprentice
Joined: 24 Aug 2005 Posts: 298 Location: Essen
|
Posted: Wed Apr 09, 2014 2:21 pm Post subject: |
|
|
py-ro wrote: | @Arfe Könntest Du dir bitte die dummen Kommentare verkneifen? |
Du kennst schmidicom noch nicht.
Er möchte bei Gentoo die Funktionalität eines Windows 7 Desktops. |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Wed Apr 09, 2014 2:24 pm Post subject: |
|
|
Ja, und? Ist trotzdem kein Grund. Aber das wird hier jetzt zu OT. |
|
Back to top |
|
|
Finswimmer Bodhisattva
Joined: 02 Sep 2004 Posts: 5467 Location: Langen (Hessen), Germany
|
Posted: Wed Apr 09, 2014 2:32 pm Post subject: |
|
|
@Arfe: Bitte unterlasse solche Kommentare. Auf eine normale Frage sollte auch normal geantwortet haben.
Falls Dir die Art von schmidicom nicht gefällt, dann antworte nicht... _________________ Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1923 Location: Schweiz
|
Posted: Wed Apr 09, 2014 2:47 pm Post subject: |
|
|
py-ro wrote: | Nein, nur eine neue keyphrase hilft _nicht_, den der Key liegt ungeschützt im Speicher des Servers, er muss ihn ja schließlich verwenden.
Es müssen neue Schlüssel, neue Zertifikate erzeugt und die alten Zertifikate Widerrufen werden, ansonsten ist es Sinn frei. |
Sowas habe ich schon befürchtet aber wenigstens hält sich der Aufwand dafür bei mir noch in grenzen, nur wie machen das eigentlich die großen CA's? _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Wed Apr 09, 2014 2:57 pm Post subject: |
|
|
Die CAs? Die bekommen nur CSR und zeichnen die ab.
Ansonsten reine fleiß Arbeit. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1923 Location: Schweiz
|
Posted: Thu Apr 10, 2014 5:57 am Post subject: |
|
|
py-ro wrote: | Die CAs? Die bekommen nur CSR und zeichnen die ab.
Ansonsten reine fleiß Arbeit. |
Mit CA's meinte ich solche Zertifizierungsstellen wie Beispielweise VeriSign und was die machen wenn deren Schlüssel zum RootCA (ob nun durch einen Softwarebug oder einfachen Diebstahl) kompromittiert ist.
Inzwischen ist auf Heise noch ein Artikel mit etwas mehr Informationen zu diesem Thema online gegangen. Also nach dem was ich dort lese ist der Schlüssel zum Zertifikat technisch gesehen in Ordnung, nur besteht durch die Lücke einfach die Möglichkeit das er gestohlen worden sein könnte. Aber da meine RootCA nicht auf einem vom Internet aus erreichbaren Server liegt müsste diese ja eigentlich sicher sein, oder? _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Thu Apr 10, 2014 8:00 am Post subject: |
|
|
Die CA Keys sind für gewöhnlich nicht auf erreichbaren Systemen gespeichert und für normale Anwendungen auch nicht nötig. Man könnte theoretisch das Root Zertifikat mit Key nutzen, aber das wäre absolut unüblich und dämlich. |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2390 Location: Germany
|
Posted: Thu Apr 10, 2014 6:48 pm Post subject: |
|
|
Fefe hat dazu einen Artikel bei der FAZ geschrieben.
Bisher ging ich der Vermutung nach das man bei openssl auch auf der Sicheren Seite war wenn das Useflag tls-heartbeat nicht gesetzt wurde. Aber ja besser ist es neue Schlüssel zu generieren. |
|
Back to top |
|
|
forrestfunk81 Guru
Joined: 07 Feb 2006 Posts: 565 Location: münchen.de
|
Posted: Sat Apr 12, 2014 9:38 am Post subject: |
|
|
py-ro wrote: | Die CA Keys sind für gewöhnlich nicht auf erreichbaren Systemen gespeichert und für normale Anwendungen auch nicht nötig. Man könnte theoretisch das Root Zertifikat mit Key nutzen, aber das wäre absolut unüblich und dämlich. |
Ich benutze keine CA Keys sondern self-signed Zertifikate. Wie ist das damit? Laut einem Artikel aus dem alten Gentoo Wiki (leider nicht mehr online) sollte man die Keys folgendermaßen erstellen:
Code: | openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout server.key -out server.crt |
Das ergibt dann den privaten Key server.key und das zugehörige Zertifikat server.crt. Für Apache sind die so angegeben:
Code: |
# grep SSLCertificate /etc/apache2/vhosts.d/00_default_ssl_vhost.conf
SSLCertificateFile /etc/ssl/apache2/server.crt
SSLCertificateKeyFile /etc/ssl/apache2/server.key |
So wie ich das verstanden habe, besteht die Möglichkeit, dass mein privater Key (server.key) ausgelesen wurde. Deshalb habe ich beides mal ausgetauscht und hoffe, damit auf der sicheren Seite zu sein. _________________ # cd /pub/
# more beer |
|
Back to top |
|
|
cryptosteve Veteran
Joined: 04 Jan 2004 Posts: 1169 Location: GER
|
Posted: Sat Apr 12, 2014 7:07 pm Post subject: |
|
|
ChrisJumper wrote: | Bisher ging ich der Vermutung nach das man bei openssl auch auf der Sicheren Seite war wenn das Useflag tls-heartbeat nicht gesetzt wurde. Aber ja besser ist es neue Schlüssel zu generieren. |
Nach meinem Verständnis ist ein System mit nicht gesetztem tls-heartbeat in dieser Hinsicht nicht anfällig. Demnach besteht hier auch keine Notwendigkeit, die Schlüssel neu zu erstellen. Voraussetzung ist allerdings, dass die Keys und Zertifikate auch wirklich nur auf diesem System genutzt werden bzw. wurden. _________________ - born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
Back to top |
|
|
|