Ist mein Webserver durch den Fehler in OpenSSL im Betriebssystem Debian GNU/Linux betroffen? Zielgruppe: Web Hosts, Administratoren von Webservern, Technisches Personal, das für die Generierung von CSRs und die Installation von SSL-Zertifikaten auf Webservern verantwortlich ist. Am 13. Mai 2008 gab das Debian Projekt bekannt, dass Luciano Bello ein Sicherheitsproblem im OpenSSL Paket der Linux-Distribution aufgespürt hatte. Nähere Details dazu sind hier zu finden: http://www.debian.org/security/2008/dsa-1571 Dieses Sicherheitsproblem betrifft nicht die ComodoCA noch deren PKI Infrastruktur, sondern nur die Art und Weise, wie PRIVATE Schlüssel mit OpenSSL generiert werden. Dieser Prozess findet auf dem Linux-System des Anwenders bzw. Webserver-Administrators statt. Wenn Ihr CSR folgende Merkmale aufweist: nach dem 2006-09-17 generiert mit Etch, Lenny oder Sid generiert (Sarge ist nicht betroffen) generiert mit „openssl“, „ssh-keygen“ oder „openvpn --keygen“ (GnuPG und GNUTLS sind nicht betroffen) dann sollten Sie wie folgt vorgehen: einen neuen CSR und ein neues Schlüsselpaar generieren Melden Sie sich in Ihrem Account für das SSL-Zertfikat an (erreichbar über http://www.ibh.de/ssl/), klicken Sie auf „SSL Certificates“ und benutzen Sie die Option „Replace“, um den neuen Zertifikatsrequest (CSR) zu übermitteln Downloaden und installieren Sie das neu signierte Zertifikat Wählen Sie für das ersetzte Zertifikat „Revoke“, um es ungültig zu machen Eine komplette Liste Debian-basierter Linux-Distributionen finden Sie hier. Um herauszufinden, welche Debian-Version Sie einsetzen, können Sie eines der folgenden Kommandos verwenden: $ lsb_release -d -s -c oder $ cat /etc/lsb-release Um herauszufinden, welche Version von OpenSSL zum Einsatz kommt, benutzen Sie das Kommando: $ openssl version -v -d –p Ein Werkzeug, um einen von der Sicherheitslücke betroffenen und kompromittierbaren Schlüssel aufzuspüren, ist unter folgender URL veröffentlicht worden: http://security.debian.org/project/extra/dowkd/dowkd.pl.gz Sie können auch das von heise.de publizierte Werkzeug nutzen: http://www.heise.de/netze/tools/chksslkey Folgendes WIKI beschreibt detailliert, wie die von der Sicherheitslücke betroffene Software aktualisiert werden kann: http://wiki.debian.org/SSLkeys Bei Rückfragen erreichen Sie den kostenpflichtigen Support von IBH unter 0351 47777 30.