Heartbleed Bug: Bitte ändern Sie Ihr Passwort
Erstellt am 11.April 2014, 14:30 Uhr | Kategorie: Info
Liebe Posteo-Nutzer,
wir wenden uns mit einem wichtigen Sicherheitshinweis an Sie.
Wir hatten bereits am Dienstag in unserem Blog darüber informiert, dass eine sehr schwerwiegende Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL entdeckt wurde. Die Software wird weltweit von den meisten Internetdiensten eingesetzt, die Verbindungen aus Sicherheitsgründen verschlüsseln.
Posteo hatte deshalb am Dienstag auf allen Servern die “reparierte” Version der Verschlüsselungsbibliothek eingespielt und einen neuen TLS-Schlüssel generiert.
Nach dem aktuellen Kenntnisstand waren Posteo-Nutzer vor dem nachträglichen Entschlüsseln von Verbindungen zwar geschützt, weil wir alle verschlüsselten Verbindungen zusätzlich mit der Technologie Perfect Forward Secrecy absichern.
Wir wollen aber “auf Nummer sicher gehen”.
Leider benötigt die Zertifizierungsstelle nun länger als angenommen, um unser neues – besonders sicheres – erweitertes Zertifikat zu beglaubigen. Deshalb haben wir heute Mittag einen Schnitt gemacht. Wir haben das alte erweiterte Sicherheitszertifikat nun zunächst durch ein neues herkömmliches Zertifikat ausgetauscht. Dieses vorübergehende neue Zertifikat wurde uns von einer anderen Zertifizierungstelle (SwissSign) umgehend ausgestellt.
Nun wenden wir uns mit folgender Bitte an Sie:
Wir haben die alten Zertifikate ausgetauscht.
Ändern Sie aus Sicherheitsgründen nun bitte Ihr Posteo-Passwort.
Dies ist eine präventive Vorsichtsmaßnahme.
Wir empfehlen Ihnen ausserdem, auch bei anderen Onlinediensten (z.B. bei Banken, Online-Shops und sozialen Netzwerken) Ihr Passwort zu ändern, sobald die Dienste nicht mehr anfällig für den “Heartbleed” Bug sind und ihre Zertifikate ausgetauscht haben.
Da OpenSSL so weit verbreitet ist, waren fast alle wichtigen Dienste und Seiten betroffen. Viele große Internetdienste rufen aktuell ihre Nutzer dazu auf, die Passwörter zu ändern. Bitte folgen Sie diesem Rat.
Bei dem Heartbleed Bug handelt es sich um ein sehr schwerwiegendes Sicherheitsproblem, dass alle Internetnutzer ernst nehmen sollten.
Sobald unser neues, erweitertes Sicherheitszertifikat eintrifft, werden wir die Zertifikate erneut austauschen und darüber in unserem Blog (in der Kategorie “Info”) informieren. Es ist nicht notwendig, das Passwort nach diesem Zertifikatetausch noch einmal zu ändern.
Die folgenden Informationen sind nur für Nutzer relevant, die unsere
Fingerprints manuell abgleichen:
Die Fingerprints des aktuellen Zertifikats lauten:
SHA1: 73:F0:49:85:ED:15:66:FD:2C:D8:4A:93:51:08:D7:15:93:71:3D:E6
MD5: 2F:CB:9E:2F:DB:40:59:E2:72:13:D1:6F:0D:00:40:99
Viele liebe Grüße,
Ihr Posteo-Team