SSL Bug auf VPN Server.

[Gelöschtes Mitglied 468]

Hey, ist PP betroffen?

http://www.heise.de/newsticker/meld...ung-im-Web-Horror-Bug-in-OpenSSL-2165517.html

In erster Linie betroffen sind jetzt alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen. Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste.


Vorab Danke für die Info.

 

[PP Frank]

@Ghost

1. Hör mal auf hier fett zu schreiben, das sieht furchtbar aus.

2. Irgendwie kriege ich beim Schrei nach Stellungnahme Krämpfe Wenn Lars da ist sagt er paar Tackte zu, da er sich mit den Details besser auskennt

3. Soweit meine Infos korrekt sind, ist kein Update der Certs bei OpenVPN notwendig da PFS. Das wäre auch mehr als dramatisch wenn wir die Certs wechseln müssten. Ist aber soweit ich sehe Gott sei Dank nicht der Fall.

4. Problemlösung unter Linux bitte im passenden Forum der passenden Distribution. Wer Linux nutzt muss sich dort auch wegen Linux kümmern und bei Linux sollte man eh wissen was man tut


Ansonsten: OpenVPN unter Windows auf die aktuellste Version updaten und dann sollte das schon reichen. Was die neuste Beta vom Manager anbelangt, da muss dann Lars was dazu sagen welche OpenVPN Version drin ist und ob da überhaupt was bei kritisch ist.

 

[Salat]

3. Soweit meine Infos korrekt sind, ist kein Update der Certs bei OpenVPN notwendig da PFS. Das wäre auch mehr als dramatisch wenn wir die Certs wechseln müssten. Ist aber soweit ich sehe Gott sei Dank nicht der Fall.

Gut, dass Perfect Forward Secrecy genutzt wird freut mich persönlich. Nach derzeitigen Informationen soll dadurch ja eine rückwirkende Entschlüsselung von Daten unmöglich sein.
Allerdings gehe ich davon aus, dass Zertifikate getauscht werden müssen. Zumindest ist dies mein Eindruck wenn man so durchs Netz schaut.

EDIT: http://unix.stackexchange.com/questions/123711/how-do-i-recover-from-the-heartbleed-bug-in-openssl

Dort steht ja eigentlich unmissverständlich, dass Zertifikate erneuert werden müssen, oder verstehe ich da etwas falsch?

 

[PP Frank]

Naja, was im Netz steht und was tatsächlich so ist, das sind zwei paar Schuhe. Da schieben einige immer Panik. Warum die Certs getauscht werden müssten, weiss ich jedenfalls nicht....

 

[Gelöschtes Mitglied 468]

@PP Frank

@Ghost

1. Hör mal auf hier fett zu schreiben, das sieht furchtbar aus.

Wie du meinst. Das wusste ich doch nicht.......

Naja, was im Netz steht und was tatsächlich so ist, das sind zwei paar Schuhe.

Daher auch der Wunsch nach einer Stellungnahme von PP.

Ist das so schwer zu verstehen? Wir sind keine Profis wie ihr!
Viele User sind extrem verunsichert. Das zieht sich quer durch jeden VPN Anbieter.

 Irgendwie kriege ich beim Schrei nach Stellungnahme Krämpfe

Warum beendet ihr dann das Forum nicht, wenn es dich nervt das wir hier Fragen stellen?

 

[PP Frank]

@Ghost

Fragen != "Mimimi Stellungnahme"

Ich sags ja. Wenn Lars da is sagt er paar Sachen dazu, da er in den technischen Details besser drin ist als ich und ich die Serverinstallation jetzt auch nicht so genau kenne. Auch ob Certs getauscht werden müssen oder nicht. Ich gehe davon aus, das dies nicht der Fall ist....

 

[Gelöschtes Mitglied 468]

@PP Frank.

Danke für die Kurzinfo.

Zur Info: Ich habe PP ausgewählt, da ihr in Foren als sehr zuverlässig und gewissenhaft dargestellt werdet.
Das ist mir sehr wichtig, da ich kein Profi bin. Für mich zählt nur eines, lieber bezahle ich etwas mehr Geld, bekomme aber daür einen guten Service und eine Interssensgemeinschaft, die den Dienst wegen ihrer Überzeugung anbietet und nicht wegen finanziellen Interessen.
(Natürlich sollte für jeden ein cooles Monatseinkommen drin sein)

Natürlich stelle ich Fragen, wenn ich Angst um meine Sicherheit habe und bin sauer wenn nicht zeitnah reagiert wird.

Abgesehen von der momentanen Situation bin ich zufrieden mit PP und habe euch auch im Freundeskreis empfohlen, wodurch PP auch bereits neue Kuneden gewonnen hat. .................

 

[JackCarver]

@ghost: ich weiß dass da viele besorgt sind deswegen, aber wenn du dir die Fakten anguckst und den Profis von OpenVPN glaubst, dann lies das Statement der OpenVPN Jungs mal durch: OpenSSL < 1.0.1 or >= 1.0.1g or PolarSSL are NOT vulnerable to the heartbeat attack. Client/server connections that utilize TLS auth, and the keys have been kept secure, are also safe, as they prevent a needed MITM attack needed to compromise the connection. Und danach guckst du mal in der config, die du mir in der iptables Anleitung Thread gepostet hast, dort findest du die tls-auth direktive, ergo war und ist alles sicher ;-)

 

[JackCarver]

Die Formatierung bitte ich zu entschuldigen, das klappt am iphone nicht so richtig

 

[Gelöschtes Mitglied 468]

@JackCarver

THX für die Info.
Das beruhigt mich jetzt schon etwas.

Leider muß ich dir sagen, daß meine Linux PC defekt ist.
Zur Zeit verwende ich Win8.1 mit PP Manager.
Hoffe die Reparatur der Zbox (Linux PC) geht schnell......

Wie mich das alles nervt...........

 

[PP Frank]

Mist die Certs von den Gigabit Servern müssen doch getauscht werden. Verdammt. Lars sagt gleich noch was dazu. Bereitet euch aber darauf vor das heute neue Configs kommen

 

[Rudpla]

Für W-Nutzer: Die aktuelle 2.3.3 bügelt das clientseits aus: http://openvpn.net/index.php/open-source/downloads.html . Was die Certs betrifft, so steht auf der weiter oben verlinkten OpenVPN-Seite: "How do I fix this? Update your OpenSSL library. Revoke your old private keys . Generate new private keys. Create certificates for the new private keys. Is this for clients or servers? Both. Replace the keys for each peer that was active while linked against a vulnerable OpenSSL."

 

[PP Lars]

https://www.perfect-privacy.com/german/2014/04/09/openssl-heartbleed-bug/


Werte Mitglieder, wie ihr evtl. in den Medien gelesen habt, wurde gestern ein Bug in OpenSSL bekannt der die Sicherheit verschlüsselter Kommunikation im Internet akut gefährdet.

- Unsere Webserver & unsere Gigabit OpenVPN Server waren vom Heartbleed Bug betroffen. Alle anderen VPN Server verwenden eine OpenSSL Version die für diesen Bug nicht anfällig ist.

- Perfect Privacy unterstützt Forward Secrecy (PFS), d.h. eine nachträgliche Entschlüsselung eurer VPN Kommunikation ist nach aktuellem Kenntnisstand ausgeschlossen, selbst wenn Keys vom Server gestohlen wurden.

- Alle Server wurden kurz nach bekanntwerden des Bug aktualisiert.

- Trotz der geringen Wahrscheinlichkeit das Keys gestohlen wurden, werden wir die OpenVPN Keys für alle 1000Mbit Server austauschen. Dies macht ein update der Client Konfiguration nötig. Dieser Austauschen wird im laufe der nächsten Stunden passieren.
Wir entschuldigen uns jetzt schon bei den Mitgliedern die diesen Text zu spät lesen und vom Server geflogen sind.

- Wir werden die Zertifikate für *.perfect-privacy.com und secure-mail.biz austauschen. Dies wird so schnell wie möglich passieren, die meisten CAs sind gerade dabei den kostenlosen und schnellen Austausch zu organisieren.



Grüße
Lars

 

[Inkognito]

@Lars: genau so muss das! Super!

Die pampigen Antworten von Frank sind alles andere als professionell. Hat wohl heute nen miesen Tag gehabt.

 

[PP Frank]

Die Antworten sind so, wenn man mich versucht unter Druck zu setzen. Aber das kennst du ja nun. Ich habe heute morgen auch deutlich gemacht, dass abwarten angesagt ist. Wie es in den Wald rein ruft....

 

[Salat]

Im großen und ganzen bin ich recht zufrieden mit der Reaktion von PP. Das hat “uns" ja alle ziemlich erwischt. Nun werde ich noch das neue Zertifikat für *.perfect-privacy.com abwarten und mein Passwort ändern. Nur zu Info: Viscosity hat mir gerade auch ein Update angezeigt.

 

[Gelöschtes Mitglied 468]

@PP Frank

Die Antworten sind so, wenn man mich versucht unter Druck zu setzen. Aber das kennst du ja nun. Ich habe heute morgen auch deutlich gemacht, dass abwarten angesagt ist. Wie es in den Wald rein ruft....

Ich habe auch viel mit Kunden zu tun, aber ich kann es mir nicht leisten so pampig zu sein.
Professionell finde ich das nicht.


@Lars:

genau so muss das! Super!

@alle

Vergesst beim Verfassen der Postings nicht, dass höfliche Umgangsformen das A & O jeder erfolgreichen Kommunikation ist.

 

[Inkognito]

@Ghost: ich muss Frank in dem Punkt zustimmen, dass deine Schriftgrößen- und Fettschriftspielereien wirklich Augenkrebs waren, aber die Art wie er mit Kunden umgegangen ist ist einfach nicht in Ordnung, das stimmt.

Und "unter Druck setzen" ist jawohl auch angebracht verdammt! Die Kunden wollen wissen was Sache ist! Richtig wäre gewesen, wenn Frank HÖFLICH und nicht pampig schlicht und einfach, zur Not auch mehrmals, gesagt hätte "Ich habe nicht so viel Ahnung von den Servern, Lars wird heute Abend alles aufklären."

Im Support zu arbeiten kann nervig sein, ich weiß das, aber man muss immer seine Haltung wahren und höflich bleiben. Frank, nimms als kleinen Kritikpunkt auf an dem du arbeiten kannst.

Lassen wir das Thema Frank und Freundlichkeit jetzt ruhen.

 

[Gelöschtes Mitglied 468]

@Inkognito

@Ghost: ich muss Frank in dem Punkt zustimmen, dass deine Schriftgrößen- und Fettschriftspielereien wirklich Augenkrebs waren,

Da gebe ich dir und Frank recht.

Im Support zu arbeiten kann nervig sein, ich weiß das, aber man muss immer seine Haltung wahren und höflich bleiben.

Da gebe ich dir wieder recht.

@PP Frank

Schwamm drüber. Alles cooooool hier

 

[Dr. Kochhahn]

Sooo, jetzt habe ich OpenVPN 2.3.2.1004 gegen OpenVPN 2.3.3 1001 getauscht.Perf. Priv. OpenVPN Manager hab ich bei der Gelegenheit auch gleich den Neuesten runtergeladen. Muss ich sonst noch was tun mit meinem Windows System oder passts erstmal?

 

[PP Frank]

Jau alles cool. Ich will da aber auch mal drauf hinweisen das das hier keine normale Firma ist, sonst wäre der erste Satz in dem Post hier schon ein No-Go. Hier wird frei von der Leber gesprochen. Das ist halt mal super duper nett, aber hier gibts eben och ma de rauhen Töne Ihr seid nicht die Kunden, sondern die Mitglieder die uns finanziell stützt. Und auf Umgangston ala versicherung hab ich Null Lust