Schlagwort-Archive: ssl

OpenSSL: Schwerwiegender Fehler in der Programmierung: The Heartbleed Bug

Ein schwerwiegender Programmierfehler in OpenSSL öffnet einem Angreifer zur Zeit Tür und Tor: The Heartbleed Bug

Es steht bereits ein Patch für OpenSSL zur Verfügung, dieser wird auch bereits in den verschiedenen Linux Distributionen zur Installation angeboten.

Des weiteren sollte man auf jeden Fall auch die SSL Zertifikate auf den Systemen austauschen um ganz sicher zu gehen. Die großen CA’s bieten bereits einen kostenlosen Austausch an.

Ob der eigene Server betroffen ist, kann man auf folgenden Sites testen:

 

SSL Mailserver Zertifikatsaustausch in Plesk

Leider ersetzt Plesk bei einem Zertifikatstausch nicht die SSL Zertifikate des Mailservers. Diese können nur im System selbst über die Kommandozeile ausgetauscht werden. Dazu muss eine Textdatei (z.B. /root/sslzertifikat.pem) erstellt werden, die die beiden Textblöcke enthält:

-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQCrSL4uZ28bXpUjTnIZeZnAn0Rlg5W4T8LK8TA1TOqkNfdQ5ZAU
[...]
pjMkym19LaVju0OzTsKet/00wTNfo99gZXw0KiHOOnc=
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIEdjCCA16gAwIBAgIRAJsC9XkVPHDn2gux7QHiuEUwDQYJKoZIhvcNAQEFBQAw
[...]
8pqe2Njq0NQi7wZ6HqlmAOv4hMTVMDVosxm+y+8yQXWpuGMZN+m2y9KY
-----END CERTIFICATE-----

Nun muessen noch die vorhandenen Zertifikatsdateien ersetzt werden:

cp /var/qmail/control/servercert.pem /var/qmail/control/servercert.pem.original
cp /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.original
cp /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.original
cp /root/sslzertifikat.pem /var/qmail/control/servercert.pem
cp /root/sslzertifikat.pem /usr/share/courier-imap/imapd.pem
cp /root/sslzertifikat.pem /usr/share/courier-imap/pop3d.pem
/etc/init.d/courier-imap restart
/etc/init.d/qmail restart
/etc/init.d/xinetd restart

Ab einem Neustart der Serverdienste wird das neue Zertifikat verwendet.