Herzbluten (OpenSSL Bug)

hinweis

Evtl. haben auch Sie vom Heartbleed Bug gehört: Fast alle verschlüsselnden Webserver dieser Welt waren in der Vergangenheit angreifbar – auch wir auf unseren Domains kvfg.de, kvfg.net, kvfg.org und kvfg.info.

Alle nötigen Updates wurden umgehend eingespielt, so dass wir für die Zukunft sicher sein sollten (bis zum nächsten Bug). Sie können dies für unsere – und auch alle anderen – Domains mit dem folgenden Dienst überprüfen:

http://filippo.io/Heartbleed

Weitere Informationen finden Sie auf den Seiten von Heise.

Aber: Wir haben nicht das Geld, umgehend alle unsere SSL Zertifikate auszutauschen, um für den aus unserer Sicht wenig wahrscheinlichen Fall gerüstet zu sein, dass jemand unseren kompletten SSL Verkehr aufgezeichnet hat oder erfolgreich unsere Schlüsseldateien klaute. Ausschließen können wir dies aber auch nicht.

Zumindest die Mailserver mail.lehrerpost.de und kvfg.info setzen Perfect Forward Secrecy ein, so dass wir hier nach dem Einspielen des OpenSSL-Updates und nach einer Passwortänderung von Ihrer Seite in Ruhe abwarten können.

Was den SSL Verkehr rund um unsere Webserver angeht, da sieht es nicht so gut aus, weil Perfect Forward Secrecy hier aus technischen Gründen nicht implementiert werden konnte. Grund zur Panik besteht aber (noch) nicht.

Wir informieren Sie hier und auch über unsere Foren wenn aus unserer Sicht akuter Handlungsbedarf besteht oder wir auf Grund aktueller Entwicklungen zu einer anderen Einschätzung kommen.