Die alten Zertifikate sollten von den Anbietern für ungültig erklärt werden, da sonst die Gefahr einer Man-in-the-middle-Attacke besteht, wie Mailbox.org erklärt: „Nur wenn dieser Schritt vollzogen wurde, können Web-Browser und E-Mail-Programme der Endanwender die alten kompromittierten Zertifikate erkennen.“
Die höchste Sicherheitseinstufung erreichen die Server von Posteo und Mailbox.org, die HSTS unterstützen. In Verbindung mit Firefox wird Mailbox.org als SSL-only-Domain erkannt, was die Sicherheit weiter erhöht. Inzwischen setzen die Anbieter bis auf Freenet auch die neueste TLS-Spezifikation 1.2 um. Forward Secrecy bieten nun ebenfalls sämtliche großen Maildienste. Nutzer des Internet Explorer müssen auf dieses Feature bei Freenet allerdings verzichten.
Heartbleed-Bug: Status deutscher Provider hinsichtlich Patch, erneuerten Zertifikaten, Forward Secrecy und TLS-Unterstützung (Stand 18.4.2014) | ||||||||
Anbieter | 1&1 | Freenet | GMX | Posteo | Mailbox.org | Mail.de | Telekom | Web.de |
---|---|---|---|---|---|---|---|---|
Patch | ja | ja | ja | ja | ja | ja | ja | ja |
Sicheres Zertifikat | ja | ja | ja | ja | ja | ja | ja | ja |
TLS 1.2 | ja | nein | ja | ja | ja | ja | ja | ja |
Forward Secrecy | ja | ja* | ja | ja | ja | ja | ja | ja |
Qualys SSL Test | A | B | A | A+ | A+ | A+ | A | A |
*nicht mit Internet Explorer
Nutzer betroffener Server sollten in jedem Fall ihr Kennwort ändern und dies erneut durchführen, sobald die Serverbetreiber die Aktualisierung der Zertifikate abschlossen haben. Die Gefahr durch den Heartbleed-Bug war etwas weniger groß für Websites, die bereits vor Entdeckung des Fehlers die Funktion Forward Secrecy genutzt haben. Sie wechselt den Sicherheitsschlüssel für jede Session, ohne dass sich daraus Rückschlüsse auf den Master Key ziehen ließen. Der Diebstahl eines Session Key etwa mit Heartbleed hat somit kaum Folgen.
Die meisten von der in OpenSSL entdeckten Sicherheitslücke Heartbleed betroffenen Dienstleister haben Nutzer bisher nicht darüber aufgeklärt, dass seit zwei Jahren ein hohes Risiko für das Stehlen von Zugangsdaten bestanden hat. Angesichts der Tatsache, dass anerkannte Sicherheitsexperten wie Bruce Schneier den Fehler „auf einer Skala von 0 bis 10 mit 11“ bewerten, verwundert dies ein wenig. Besorgte Anwender können aber folgende Online-Tools nutzen, um sich über den aktuellen Status eines Servers zu informieren.
filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…