Schlagwort-Archive: heartbleed

Alle Benutzer von Twattle.net sollten ihr Kennwort ändern!

Wie Du wahrscheinlich schon gehört hast, wurde in dieser Woche eine schwerwiegende Sicherheitslücke in OpenSSL gefunden und behoben. Auch Twattle.net war davon betroffen und ich habe alle mir zur Verfügung stehenden Maßnahmen getroffen um das Problem serverseitig zu beheben. Ich habe eine aktualisierte OpenSSL Bibliothek installiert, das genutzte TLS Zertifikat für ungültig erklären lassen und ein neues Zertifikat installiert.

Da es grundsätzlich nicht vollständig auszuschließen ist, dass ein unbefugter über die Sicherheitslücke unverschlüsselte Daten oder gar den privaten Schlüssel des alten Zertifikats abgegriffen hat, ist es durchaus auch möglich, dass Dein Kennwort für Dein XMPP Konto abgegriffen wurde.

Aus diesem Grunde solltest Du unbedingt Dein XMPP Kennwort ändern!

Der von Dir verwendete XMPP Client sollte Dir eine Möglichkeit bieten Dein Kennwort zu ändern.

In Gajim zum Beispiel geht das wie folgt:

  • Menü: Ändern / Konten
  • Links Dein Konto auswählen, Reiter Konto aktivieren
  • Unten auf „Administrative Aktionen“ und danach auf „Passwort ändern“ klicken

Gajim Kennwort ändern

Wie das mit anderen Clients funktioniert findest Du in der jeweiligen Dokumentation oder Du kannst mich auch fragen. Ich helfe Dir gern.

Weitere Informationen und Gründe findest Du hier:

Neues Zertifikat

Der Server hat heute ein neues Zertifikat erhalten. Dieses ist gültig bis Samstag, 11. April 2015 16:06:17 Uhr (GMT).

Im folgenden die SHA1 Fingeradrücke, damit Du das Zertifikat überprüfen kannst.

Alt: D0:E4:61:4B:05:B2:3A:BB:50:17:06:F4:42:C1:8A:46:25:30:E6:C8
Neu: 6B:19:E9:2E:05:ED:A7:DF:F5:44:25:AC:ED:33:1F:F2:BC:40:C4:3E

Das Zertifikat ist gültig für die Website, für den XMPP Server und für den Mumble-Server.

Zertifikat zurückgezogen

Ich habe soeben bei StartSSL beantragt, dass das Zertifikat von Twattle.net für ungültig erklärt wird. Sobald das Zertifikat zurückgezogen wurde werde ich ein neues beantragen.

Zwischen diesen beiden Zeitpunkten kann es zu Problemen bei der Nutzung von Twattle.net kommen, da kein gültiges Zertifikat mehr benutzt wird.

Ich bitte die Unannehmlichkeiten zu entschuldigen, aber dieser Schritt ist notwendig um die Sicherheit Deiner Kommunikation weiterhin sicherzustellen.

Weitere Informationen und Gründe findest Du hier:

OpenSSL Heartbleed Bug CVE-2014-0160

Wie Golem am 8.4.2014 berichtet hat, gab es seit ca. 2 Jahren eine Sicherheitslücke in OpenSSL. Auch Twattle.net war bis gestern von dieser Sicherheitslücke betroffen. Mittlerweile habe ich die fehlerhafte Version von OpenSSL jedoch gegen eine fehlerbereinigte Version ersetzt.

Als nächstes werde ich die TLS Zertifikate erneuern. Hier warte ich zur Zeit auf eine Information von StartSSL (StartCom Ltd.) ob sie die Erneuerung der Zertifikate im Zusammenhang mit dem Heartbleed Bug kostenlos anbieten werden.
Zur Zeit sieht dies nicht so aus, aber bis zum Wochenende werde ich trotzdem noch abwarten.

Weitere Informationen über den Heartbleed Bug gibt es drüben bei Golem: