Eigenes SSL Zertifikat und heartbleed (gelöst) (Allgemeine technische Fragen)

[thread]19037[/thread]

Eigenes SSL Zertifikat und heartbleed [gelöst]

Tags: openssl heartbleed Ähnliche Threads

Leser: 15

Articles: hide open all | hide show old branches

+18 replies
bianca

2014-04-19 12:51

User since
2009-09-13
7016 Artikel
BenutzerIn

Angenommen, ich würde doch nochmal versuchen, für einen eigenen Apache Webserver unter Windows ein SSL Zertifikat zu erstellen, z.B. mit XCA oder openSSL. Was müsste ich dann updaten, um nicht das heartbleed Problem zu haben?
10 print "Hallo"
20 goto 10
- +17 replies
- GwenDragon
  
  2014-04-19 13:09
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  Das Zertifikat hat nichts mit Heartbleed zu tun. Heartbleed ist ein Problem der SSL-Einstellungen des Systems.
  Test mal deinen Server mit dem Perl-programm: check-ssl-heartbleed
  //EDIT: Download
  
  Aber wenn dein Server Heatbleeding hatte, zuerst auf deine sichere OpenSSL-version updaten und dann musst du Private Keys und Server- und CA-Zertifikate neu erstellen.
  
  Editiert von GwenDragon: Downloadlink hinzu
  Last edited: 2014-04-19 13:23:58 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +16 replies
  - bianca
    
    2014-04-19 13:21
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    Wie kann ich das Script denn runterladen?
    10 print "Hallo"
    20 goto 10
    - +15 replies
    - GwenDragon
      
      2014-04-19 13:24
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Entschuldige, falschen Link kopiert; ist korrigiert, siehe editiertes Posting früher.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +14 replies
      - bianca
        
        2014-04-19 13:40
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Danke dir.
        Die Fritzbox ist schonmal no reply(timeout) - probably not vulnerable
        Den eigenen Server hab ich noch nicht. Hab ja den letzten Versuch abgebrochen.
        Die Frage war halt, damit ich die nötigen Komponenten vorher update, bevor ich einen neuen Versuch unternehme, den HTTPS Server aufzusetzen. Kann ich aber nicht so ohne weiteres feststellen ob da was geupdatet werden muss, oder?
        10 print "Hallo"
        20 goto 10
        
        +13 replies
        
        GwenDragon
        
        2014-04-19 13:53
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Auf einem Linux-System muss unbedingt die aktuellste OpenSSL + -libs installiert werden!
        
        Auf einem Windows Apache lieber die libeay*.dll und ssleay*.dll gegen die aus OpenSSL 1.0.1g (Win32) tauschen.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        bianca
        
        2014-04-19 18:25
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2014-04-19T11:53:28 GwenDragon
        Auf einem Windows Apache lieber die libeay*.dll und ssleay*.dll gegen die aus OpenSSL 1.0.1g (Win32) tauschen.
        
        Ah cool. Woher hast du die Namen der dll's und warum nicht runterladen von http://www.openssl.org/ ? Was ist http://slproweb.com/ ?
        10 print "Hallo"
        20 goto 10
        
        GwenDragon
        
        2014-04-20 08:09
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        2014-04-19T16:25:00 bianca
        Woher hast du die Namen der dll's (...)
        So heißen die OpenSSL-Libraries oft und ich habe beim Apache nachgesehen im bin-verzeichnis ;)
        
        2014-04-19T16:25:00 bianca
        (...)warum nicht runterladen von http://www.openssl.org/ ? Was ist http://slproweb.com/ ?
        Laut OpenSSL Binaries ist Shining Light Productions die Distribution für OpenSSL bei Windows.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +10 replies
        
        bianca
        
        2014-04-24 10:50
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Hab eben mal meinen eigenen Windows Apache 2.2.22 Webserver mit check-ssl-heartbleed.pl getestet und erhalte erstaunlicherweise
        
        Code: (dl )
        
        1 2 3 4 5 6 7 8
        
        ...try to connect with version 0x303 with SNI ...ssl received type=22 ver=0x301 ht=0x2 size=76 ...ssl received type=22 ver=0x301 ht=0xb size=819 [0] /CN=meinURL | Apr 23 13:18:00 2014 GMT - Apr 23 13:18:00 2015 GMT ...ssl received type=22 ver=0x301 ht=0xc size=521 ...ssl received type=22 ver=0x301 ht=0xe size=0 ...send heartbeat#1 no reply(timeout) - probably not vulnerable
        
        Der testende Client ist ein Win7 64Bit mit Strawberry Perl 5.16.3.
        
        Wie kann das sein, wenn ich weder clientseitig (gem. Clients auf Heartbleed testen sind ältere Perl Versionen ja auch betroffen) noch serverseitig irgendwelche Updates in Bezug auf heartbleed gemacht habe?
        10 print "Hallo"
        20 goto 10
        
        +9 replies
        
        GwenDragon
        
        2014-04-24 12:24
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Kann ja sein, dass dein älterer Apache und dein altes Perl noch openssl 0.9.8 benutzt. 0.9.8 ist nicht verwundbar.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +8 replies
        
        bianca
        
        2014-04-24 15:45
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Achso. Kann ich die Version irgendwie abfragen?
        10 print "Hallo"
        20 goto 10
        
        +7 replies
        
        GwenDragon
        
        2014-04-24 16:35
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Beim Strawberry-Perl:
        C:\strawberry\c\bin\openssl.exe version
        
        Beim Apache:
        C:\apache2\bin\openssl.exe version
        
        Und nach den Dateien ssl*.dll suchen, im Explorer Eigenschaften der Datei aufrufen, im Reiter Details nach der Version schauen.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +6 replies
        
        bianca
        
        2014-04-24 17:26
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2014-04-24T14:35:49 GwenDragon
        C:\strawberry\c\bin\openssl.exe version
        
        Code: (dl )
        
        1 2
        
        WARNING: can't open config file: z:/strawberry_libs/build/_wrk_2013Q1__.out/ssl/openssl.cnf OpenSSL 1.0.1e 11 Feb 2013
        
        2014-04-24T14:35:49 GwenDragon
        C:\apache2\bin\openssl.exe version
        
        Code: (dl )
        
        OpenSSL 0.9.8t 18 Jan 2012
        
        2014-04-24T14:35:49 GwenDragon
        Und nach den Dateien ssl*.dll suchen
        
        Wie oben. Die von Apache alle 0.9.8 und die von Perl alle 1.0.1.
        OK, dann wäre der Webserver "sauber", oder? Und das Perl auf dem Server als Client hätte mit Version 1.0.1 ein Problem, richtig?
        10 print "Hallo"
        20 goto 10
        
        +5 replies
        
        GwenDragon
        
        2014-04-24 18:33
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Apache ist ohne Heartbleed = sicher
        Perl mit = unsicher
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +4 replies
        
        bianca
        
        2014-04-25 07:29
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2014-04-24T16:33:27 GwenDragon
        Perl mit = unsicher
        
        Was genau ist unsicher?
        10 print "Hallo"
        20 goto 10
        
        +3 replies
        
        GwenDragon
        
        2014-04-25 08:43
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Jegliche SSL-Verbindung beim Perl-Programm ist verwundbar (Man-in-The-Middle-Attacke, Private Key stehlen, Code einschleusen).
        Last edited: 2014-04-25 08:44:32 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        bianca
        
        2014-04-25 09:26
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2014-04-25T06:43:30 GwenDragon
        Jegliche SSL-Verbindung beim Perl-Programm ist verwundbar (Man-in-The-Middle-Attacke, Private Key stehlen, Code einschleusen).
        
        Ja, ok, wenn ein Perlprogramm eine Verbindung aufmacht. Aber doch nicht, wenn eine SSL Verbindung zum Webserver besteht und dahinter dann Perl läuft, oder doch?
        10 print "Hallo"
        20 goto 10
        
        GwenDragon
        
        2014-04-25 09:36
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Wenn dein Perl-Programm SSL-Module verwendet und die wegen Heartbleed verwundbar sind, ist es abgreifbar und bietet keine sichere Verbindung.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2014-04-19 12:51.