Bescherming tegen Heartbleed-bug leidde tot fouten
Toen de Heartbleed-bug in OpenSSL op 7 april onthuld werd, reageerden heel wat websites snel door een update van de populaire openbronbibliotheek te installeren en de gecompromitteerde ssl-certificaten in te trekken. Maar liefst 30.000 websites die deze stappen namen (2% van de voor de Heartbleed-bug kwetsbare websites), gebruiken ondertussen echter nieuwe ssl-certificaten gebaseerd op dezelfde gecompromitteerde geheime sleutel als het oude certificaat. Dat blijkt uit een onderzoek door Netcraft.
Door dezelfde geheime sleutel te gebruiken, zijn deze websites nog altijd kwetsbaar. Als het oude certificaat immers door iemand gecompromitteerd is voor de OpenSSL-patch geïnstalleerd was, kan die de gestolen geheime sleutel gebruiken om zich voor de website uit te geven, zelfs al is het oude certificaat ingetrokken en heeft de website ondertussen een nieuw certificaat.
Maar liefst 57% van de websites die kwetsbaar waren voor de Heartbleed-bug heeft zijn ssl-certificaat noch ingetrokken noch een nieuw certificaat gegenereerd. Nog eens 21% heeft een nieuw certificaat gegenereerd maar zonder het oude in te trekken. En 2% heeft een nieuw certificaat met dezelfde geheime sleutel als het oude gebruikt, en moet het oude nog intrekken.
Al deze websites zijn dus nog kwetsbaar, maar dat waren ze vóór de onthulling van de bug ook al. Erger is dat ongeveer 20% van de websites die momenteel kwetsbaar zijn voor de Heartbleed-bug, dat een maand geleden niet waren. De beheerders hebben blijkbaar veilige versies van OpenSSL vervangen door een kwetsbare versie, blijkt uit cijfers van softwareontwikkelaar Yngve Nysæter Pettersen. De media-aandacht rond de bug heeft die beheerders blijkbaar ertoe gebracht “iets te doen”, waarop ze hun software een upgrade gaven nog voor de nieuwe OpenSSL-versie beschikbaar was.
In samenwerking met InfoWorld.com.
