Wegen dem SSL-Bug (Heartbleed) haben wir SSL erstmal abgeschaltet.
SSL vorerst deaktiviert
8. April 2014 - 10:03
#1
SSL vorerst deaktiviert
14. April 2014 - 11:28
#3
Das alte SSL Zertifikat ist aber noch im Einsatz.
Braucht StartSSL einfach nur laenger um ein neues auzustellen oder wurde vergessen ein neues anzufordern?
14. April 2014 - 13:44
#4
Das zurückziehen kostet Geld. Und den Bug kann man ja jetzt nicht mehr ausnutzen um Speicherbereiche auszulesen. SSH ist ja auch nicht betroffen. Von daher halte ich das erstmal für nicht so wichtig, wirklich Ahnung hab ich allerdings nicht.
14. April 2014 - 15:08
#5
Ich kann dir nur empfehlen dich um ein neues Zertifikat und einen neuen Private Key zu kuemmern.
Da die Sicherheitsluecke mehr als 3 Jahre unentdeckt blieb kann es sein das der Private Key gestohlen wurde, das dies moeglich ist wurde die Tage ueber ein System von CloudFlare nachgewiesen.
Ich weiss das diverse Zertifizierungsstellen aufgrund der Heartbleed Thematik kostenlos neue Zertifikate ausstellen. Ob StartSSL das auch macht kann ich dir leider nicht sagen.
14. April 2014 - 15:22
#6
USD 24.90 verlangt StartCom fuer die Zertifikatserneuerung. :(
Wieso das andere Zertifizierungsstellen kostenlos machen und StartCom dafuer Geld haben moechte muss man nicht verstehen.
Trotzdem kann ich dir nur empfehlen die USD 24,90 zu investieren.
14. April 2014 - 16:41
#7
Da tauscht man den ganzen Tag auf der Arbeit keys und Zertifikate aus, und dann verfolgt einen Heartbleed sogar bis auf Holarse. :(
Aber ich kann death-row nur zustimmen. Neuen private key erstellen und ein neues Zertifikat ausstellen lassen. Es ist teilweise wirklich erschreckend was man da alles im Speicher findet:
https://twitter.com/LloydDavis/status/453829492034007040/photo/1/large ;)
Update ist nun in den Debian-Repos enthalten, wir haben aktualisiert und die Services neugestartet. SSL ist wieder da!