[CAcert.org] Information about Heartbleed bug in OpenSSL 1.0.1 up to 1.0.1f

Heute habe ich eine E-Mail von CAcert bekommen.

What to do?

Ensure that you upgrade your system to a fixed OpenSSL version (1.0.1g or above).
Only then create new keys for your certificates.
Revoke all certificates, which may be affected.
Check what services you have used that may have been affected within the last two years.
Wait until you think that those environments got fixed.
Then (and only then) change your credentials for those services. If you do it too early, i.e. before the sites got fixed, your data may be leaked, again. So be careful when you do this.

Was ist zu tun?

Kontrollieren Sie, ob auf Ihrem System eine gefixte OpenSSL Version (1.0.1g oder darüber) installiert ist.

$ openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64

Erst dann erzeugen Sie neue Schlüssel für Ihre Zertifikate.
Wiederrufen Sie alle Zertifikate, die von der Sicherheitslücke betroffen sein könnten.
Überprüfen Sie welche Dienste Sie in den letzten zwei Jahren genutzt haben, die von der Sicherheitslücke betroffen sein könnten.
Warten Sie bis diese Dienste gefixt sind.
Erst dann (und wirklich nur dann) ändern Sie Ihre Anmeldedaten für diese Dienste. Wenn Sie Ihre Anmeldedaten erneuern bevor die Seiten/Dienste gefixt wurden, dann könnten Ihre neuen Schlüssel wieder ausspioniert werden. Seien Sie vorsichtig, wenn Sie Ihre neuen Schlüssel verteilen.

Tags: SSL

Suchen