Posteo zum "Heartbleed"-Bug
Erstellt am 08.April 2014, 14:15 Uhr | Kategorie: Info
Liebe Posteo-Nutzer,
gestern wurde eine schwerwiegende Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL entdeckt. Die Software wird weltweit von den meisten Internetdiensten eingesetzt, die Verbindungen aus Sicherheitsgründen verschlüsseln. Die Entwickler von OpenSSL haben inzwischen ein Update ihrer Verschlüsselungsbibliothek veröffentlicht.
Die neue Version enthält den Fehler nicht mehr. Allen besorgten Nutzern möchten wir auf diesem Wege Folgendes mitteilen: Posteo hat heute Vormittag auf allen Servern die “reparierte” Version der Verschlüsselungsbibliothek eingespielt und die Dienste neu gestartet.
Damit ist Posteo – nach dem aktuellen Wissensstand – nicht mehr von der Sicherheitslücke betroffen. Sollten in den kommenden Stunden und Tagen neue Informationen öffentlich werden, reagieren wir im Hintergrund umgehend auf diese Erkenntnisse. Es ist nicht notwendig, uns im Support mit neuen Informationen zu versorgen.
Wir möchten darauf hinweisen, dass Posteo alle Verbindungen zusätzlich mit der Technologie Perfect Forward Secrecy (PFS) absichert. Nach dem aktuellen Kenntnisstand schützt das Verwenden von PFS vor der nachträglichen Entschlüsselung durch potentielle Angreifer – auch, wenn diese den gestern bekannt gewordenenen Bug ausgenutzt haben sollten.
Wir haben als Konsequenz aus der Sicherheitslücke ausserdem bereits einen neuen TLS-Schlüssel generiert. Dieser muss nun von der Zertifizierungsstelle beglaubigt werden. Sobald der neue Schlüssel verfügbar ist, werden wir den Schlüssel austauschen und Ihnen die neuen Fingerprints mitteilen (im Blog und im Impressum). Diese Information ist nur für Nutzer relevant, die unsere Fingerprints manuell abgleichen.
Viele liebe Grüße,
Ihr Posteo-Team