Als eigenaar van een hostingbedrijf kan ik er natuurlijk niet omheen om wat te schrijven over de heartbleed bug. Iedereen die iets met internet te maken heeft en er nog niks van wist heeft waarschijnlijk onder een steen gelegen…
Toch nog even een simpele uitleg: OpenSSL, cryptografische software voor linux servers blijkt een bug te bevatten. OpenSSL zorgt ervoor dat Websites op het internet beveiligd kunnen worden middels SSL Certificaten (het welbekende slotje in de browser). Waarom het specifiek “heartbleed” wordt genoemd zou ik ook kunnen uitleggen maar dat wordt wel heel technisch. Voor de komische uitleg: linkje
Door middel van deze bug zouden kwaadwillenden het interne geheugen van de server kunnen uitlezen en daarmee dus wachtwoorden, private keys etc. kunnen verkrijgen.
Toen de bug publiekelijk bekend werd, had OpenSSL al een patch uitgebracht om het lek te dichten. Het was dus de taak voor ons als hostingprovider om direct alle servers te patchen. Dat was stap 1. Daarmee was het lek dus gedicht.
Vervolgens zou het dus zo kunnen zijn dat kwaadwillenden ook de private key van de certificaten reeds te pakken hebben gekregen. (zonder technisch te worden, dit is de sleutel van het slotje in de browser). Kortom: als kwaadwillenden die key hebben, is de beveiliging waardeloos geworden.
De tweede stap voor ons als hostingprovider was dus het opnieuw uitgeven van alle SSL certificaten met nieuwe keys. Een behoorlijke klus die met de hand moest gebeuren.
Inmiddels kan ik zeggen dat dit allemaal is gebeurd en onze klanten dus veilig zijn, nou ja, bijna want wij raden iedereen met SSL beveiliging op zijn site aan om het wachtwoord te wijzigen! Onze klanten hebben daarvoor ook een e-mail gehad.