Welche Auswirkungen hat Heartbleed auf Zertifikate? Ist das Problem mit der einmaligen Änderung der Zertifikate und dem Einspielen von Patches ausgestanden?

Welche Auswirkungen hat Heartbleed auf Zertifikate? Ist das Problem mit der einmaligen Änderung der Zertifikate und dem Einspielen von Patches ausgestanden?

Heartbleed ist eine Lücke in der Umsetzung eines Verschlüsselungsbereiches für Computerkommunikation. Durch einen Programmierfehler wurden bei einer Anfrage auf einen Server (mit der Lücke) mehr Informationen als erforderlich zurückgeliefert. Mit einfachen Methoden kann diese Antwort nach geheimen Schlüsseln durchsucht werden.

Daraus ergeben sich zur Zeit folgende Aktionen für Unternehmen:

  1. Patchen von allen Produkten, die auf Unix, Linux und die Open-SSL Kommunikation aufsetzen. Da dieses Protokoll eines der grundlegenden Protokolle für sichere Kommunikation ist, sind viele Produkte betroffen.
  2. Austausch von allen Schlüsseln auf den gepatchten Geräten, da man nicht sicher sein kann welche geheimen Schlüssel über die Lücke nach außen kommuniziert wurden.
  3. Verifikation des Austausches und Zurückziehung (Revokement) der alten Schlüssel, damit die CRL der Hersteller aktualisiert werden.

Damit hätte man die ersten Notfallmaßnahmen durchgeführt, allerdings ergeben sich jetzt folgende Fragen:

  • Haben wir alle wichtigen Zertifikate ausgetauscht?
    • Hierzu muß man alle kennen. Eigentlich eine Binsenweisheit, jedoch sind alle Kunden oder Interessenten beim erstmaligen Einsatz von Cert'n Key überrascht, wieviele noch unbekannt waren.
    • Sind diese im Risikomanagementsystem der Firma berücksichtigt?
  • Wurden alle Zertifikate auf den Geräten korrekt aktiviert oder haben wir noch die alten am Laufen?
    • Manche Systeme erfordern einen Neustart
    • Manche System laufen nicht mehr, da beim manuellen Austausch Fehler gemacht wurden.
  • Wie lange hat der Austausch gedauert?
  • Was hat uns dieser Austausch gekostet?
  • Sollen wir die Zertifikate regelmäßig tauschen, falls noch andere Lücken existieren?
  • Sind wir noch Compliant? Wie beeinflußt dies unser Riskmanagement?

 

Mit unserer Produkt Suite können Sie die Fragen beantworten. Mit dem Cert'n Key Scanner finden Sie alle Zertifikate und mit der Management Suite sind Sie in der Lage Ihre Policies (Maßnahmen) zu definieren und Unternehmensweit (automatisiert) durchzusetzen.

CnK_process

Artikelaktionen
Navigation