Kritisches SSL Update am 9. Juli

PP Stephan

Staff member
OpenSSL hat für Donnerstag, 9. Juli ein kritisches Sicherheitsupdate für SSL angekündigt. Wir werden dieses Update auf unseren Servern einspielen, sobald es verfügbar ist. Aus diesem Grund kann es am 9. Juli zu einer kurzzeitigen Unterbrechung unserer Dienste kommen.

Wir werden Euch über den aktuellen Stand in dieser Sacher hier informieren.
 

JackCarver

Well-known Member
Momentan, das bleibt nicht so. Natürlich wird versucht hier einige Fehler zu vermeiden, dafür schleichen sich andere ein, die gefixt werden müssen. Solange die Jungs von openssl ihre Bugs fixen, seh ich da kein Problem drin es weiter zu nutzen.
 

tux.

Member
Bei den letzten paar "kritischen Lücken" in OpenSSL war LibreSSL grundsätzlich meist nicht betroffen. Wie viele Probleme dieser Art müssen noch auftauchen, damit Perfect Privacy zumindest darüber nachdenkt?
 

JackCarver

Well-known Member
Solange gibt es LibreSSL ja nun nicht, als dass man da bereits über dessen Sicherheit in aller Zukunft orakeln könnte. Es entstand soweit ich weiß grade mal 1 Jahr zurück wegen Heartbleed. Ich finde openssl hat und macht nach wie vor nen super Job um unser aller Kommunikation zu sichern. Ja es war von Bugs betroffen, auch Windows ist von Bugs betroffen und nach wie vor nutzen es die meisten. Ich bin mir auch nicht sicher ob der Ansatz von LibreSSL der richtige war, da mal schnell n openssl Fork aus dem Boden zu stampfen, der soweit ich weiß aus beträchtlichen Zeilen openssl Code besteht. Evtl hätte man sich da mal mit den openssl Entwicklern auch kurzschließen können um gemeinsam Probleme anzugehen.
 

tux.

Member
Das Problem zum Zeitpunkt des Forks war die schlicht fehlende QS bei OpenSSL. Da lagen Bugs jahrelang ungelöst herum, weil sich niemand darum kümmern wollte. Nach der Entstehung von LibreSSL gab es eine längere Phase der kompletten Kommunikationsverweigerung bezüglich neu gefundener Bugs u.dgl.; nicht unbedingt das, was man vertrauenswürdig nennt.

Mittlerweile gehen die beiden Projekte (wie z.B. auch PolarSSL) auch von den Features her auseinander, LibreSSL beherrscht andere Verschlüsselungs- und Hashalgorithmen. Viele der neu gefundenen Bugs sind schon deswegen kein Thema für LibreSSL, weil der fragliche "defekte" Algorithmus aus genau diesem Grund gar nicht mehr vorhanden ist.
 

JackCarver

Well-known Member
Gut dass die Macher von openssl evtl etwas verärgert waren kann ich nachvollziehen. Zb dieses Thema der fehlenden QS wäre ja evtl auch im Konsens lösbar gewesen. Soweit ich das damals verfolgt habe, fehlte es den openssl Machern vor allem an Entwicklern und der Grund dafür lag am fehlenden Geld um die zu bezahlen. Da erwartet man Sicherheit auf höchstemNiveau zum Nulltarif, gleich daneben haben wir eine zig Milliarden Dollar/Jahr Vernichtungsmaschine namens NSA. Jetzt kannst du raten, wo ein fähiger Kopf wohl eher anfängt, zum Nulltarif bei openssl oder mit gestopften Taschen bei der NSA Da hätte man denen auch entwicklertechnisch unter die Arme greifen können.

Edit:
Auch OpenSSH war bereits von schwerwiegenderen Bugs betroffen und das ist soweit ich weiß aus demselben Stall wie LibreSSL ;-)
 

PP Lars

Staff member
JackCarver jetzt warst du schneller :)
Genau sowas wollte ich auch schreiben.

Im Moment würde ich auch deshalb OpenSSL benutzen weil nach heartbleed ein Haufen Firmen aufgewacht sind und Code Audits für OpenSSL bezahlen.
D.h. das da jetzt gerade Bugs gefunden werden ist eher ein gutes als ein schlechtes Zeichen.

Das man von LibreSSL weniger hört muss nicht unbedingt da dran liegen das der Code jetzt viel Bug freier ist, das liegt wahrscheinlich eher da dran das bei libressl weniger Leute bugs suchen.

aber naja, lassen wir uns mal überraschen was da gleich kommt..


Grüße
Lars
 

tux.

Member
Im Moment würde ich auch deshalb OpenSSL benutzen weil nach heartbleed ein Haufen Firmen aufgewacht sind und Code Audits für OpenSSL bezahlen.

Und du glaubst, die OpenBSD Foundation verpulvert die Spenden für Koks und Nutten oder wie? ;)

Das man von LibreSSL weniger hört muss nicht unbedingt da dran liegen das der Code jetzt viel Bug freier ist, das liegt wahrscheinlich eher da dran das bei libressl weniger Leute bugs suchen.

Das ist nicht wahr.
 

tux.

Member
Auch OpenSSH war bereits von schwerwiegenderen Bugs betroffen und das ist soweit ich weiß aus demselben Stall wie LibreSSL ;-)

SSH hat für Perfect Privacy eine völlig andere Bedeutung als SSL, insofern sehe ich das in diesem Kontext weniger kritisch. Natürlich hast du zwar Recht, aber OpenSSH ist auch - anders als LibreSSL - nicht nur eine von vielen Implementierungen ... :)
 

JackCarver

Well-known Member
Und du glaubst, die OpenBSD Foundation verpulvert die Spenden für Koks und Nutten oder wie?

Das hat nichts damit zu tun, wofür die LibreSSL Macher ihr Geld ausgeben. Sind zwei komplett unterschiedliche Paar Stiefel und Lars hat recht damit, dass der Heartbleed Bug einige Leute wachgerüttelt hat, die auch gerne OpenSSL zum Nulltarif genutzt haben. Das führte endlich dazu, dass man den Jungs unter die Arme gegriffen hat. Zu dem Zeitpunkt als LibreSSL anfing, war das Kind bereits in Brunnen gefallen. Umgekehrt wäre ein Schuh draus geworden, wenn man LibreSSL zu nem deutlich früheren Zeitpunkt entwickelt hätte, also weit vor Heartbleed. Da hätte man zeigen können, was man drauf hat. Im Nachhinein zu sagen, dass Bug XY ja wirklich unschön war usw usf ist einfach, wenn man um Bug XY weiß.

Das ist nicht wahr.

Unabhängig dessen wieviel da nun jeweils auf Bugs Jagd gehen stimmt der Kern. LibreSSL wird ebenso von Bugs betroffen sein, dass man noch keine gefunden hat liegt auch daran, dass sie grad mal angefangen haben.

Edit:
Du gehst fehl in der Annahme LibreSSl sei besser auf die nächsten Jahre gesehen Und nur darauf kommt es an. Die Geschichte zeigt, dass keine Software jemals Bugfrei war und aus der Tatsache, dass Windows Bugs enthält die Annahme zu schließen, dann muss ein OS, dass jetzt neu entwickelt wird und bei dem man noch nix gefunden hat, ja eindeutig das bessere sein, ist falsch.

Man muss nur abwarten um zu sehen, dass es auch nur mit Wasser kocht.

SSH hat für Perfect Privacy eine völlig andere Bedeutung als SSL, insofern sehe ich das in diesem Kontext weniger kritisch.

Das ist unlogisch, da es beweist, das auch das OpenBSD Team Fehler macht.
 

tux.

Member
Du gehst fehl in der Annahme LibreSSl sei besser auf die nächsten Jahre gesehen

Nein. Oder willst du dafür einen Beleg? Dann hätte erst mal ich gern einen. ;)

Vielleicht lasse ich mich zu schnell von ausführlichen Blogbeiträgen und technischen Analysen blenden, aber ich habe nicht den Eindruck, dass die LibreSSL'er allzu bald ihren Vorsprung verlieren; gerade auch, weil immer mehr Systeme es adaptieren.
 

JackCarver

Well-known Member
Ich seh grad keinen Vorsprung in LibreSSL. OpenSSL ist keinen Deut unsicherer. Es ist frisch auf dem Markt und muss sich beweisen. Abwarten und Tee trinken heißt die Devise, in einigen Jahren sieht man evtl wo die Richtung hingeht.
 

PP Lars

Staff member
Juhu, es ist bei weitem nicht so schlimm wie Heartbleed!
Puuhhhh :p

Anscheinend kann bei der Validierung von Zertifikaten etwas schief gehen.
Da durch ist evtl. OpenVPN per ManInTheMiddle Angreifbar, wobei das nur meine Theorie ist, das ist noch nicht bestätigt.

Ich denke es wird in absehbarer Zeit ein update für OpenVPN geben,
das wir dann wie immer per Client autoupdate rum schicken.

Grüße
Lars
 

tux.

Member
Ich seh grad keinen Vorsprung in LibreSSL. OpenSSL ist keinen Deut unsicherer.

Bis jetzt war OpenSSL bei jeder veröffentlichten Lücke deutlich unsicherer. Aber sicher hat sich das über Nacht total geändert.

Ein Vorsprung übrigens: Bessere Algorithmen.
 

bimbo

Member
Ich denke es wird in absehbarer Zeit ein update für OpenVPN geben,
das wir dann wie immer per Client autoupdate rum schicken.

Grüße
Lars


Das kann man auch fix selber machen.

Z.B. für Windows https://slproweb.com/products/Win32OpenSSL.html hier die passende SSL-Version runterladen und in ein Verzeichnis installieren. Die Dateien "libssl32.dll", "ssleay32.dll" (und "libeay32.dll", falls vorhanden) ins Programmverzeichnis von OpenVPN und wo sonst noch verwendet kopieren.
http://www0.xup.in/exec/ximg.php?fid=65518838
Das sollte nach meinem Verständnis ausreichen.
 
Top