Marin Heideman's BLOG

Over webhosting, ondernemen en alles wat me dwars zit.

De Heartbleed Bug

heartbleed

Als eigenaar van een hostingbedrijf kan ik er natuurlijk niet omheen om wat te schrijven over de heartbleed bug. Iedereen die iets met internet te maken heeft en er nog niks van wist heeft waarschijnlijk onder een steen gelegen…

Toch nog even een simpele uitleg: OpenSSL, cryptografische software voor linux servers blijkt een bug te bevatten. OpenSSL zorgt ervoor dat Websites op het internet beveiligd kunnen worden middels SSL Certificaten (het welbekende slotje in de browser). Waarom het specifiek “heartbleed” wordt genoemd zou ik ook kunnen uitleggen maar dat wordt wel heel technisch. Voor de komische uitleg: linkje

Door middel van deze bug zouden kwaadwillenden het interne geheugen van de server kunnen uitlezen en daarmee dus wachtwoorden, private keys etc. kunnen verkrijgen.

Toen de bug publiekelijk bekend werd, had OpenSSL al een patch uitgebracht om het lek te dichten. Het was dus de taak voor ons als hostingprovider om direct alle servers te patchen. Dat was stap 1. Daarmee was het lek dus gedicht.

Vervolgens zou het dus zo kunnen zijn dat kwaadwillenden ook de private key van de certificaten reeds te pakken hebben gekregen. (zonder technisch te worden, dit is de sleutel van het slotje in de browser). Kortom: als kwaadwillenden die key hebben, is de beveiliging waardeloos geworden.

De tweede stap voor ons als hostingprovider was dus het opnieuw uitgeven van alle SSL certificaten met nieuwe keys. Een behoorlijke klus die met de hand moest gebeuren.

Inmiddels kan ik zeggen dat dit allemaal is gebeurd en onze klanten dus veilig zijn, nou ja, bijna want wij raden iedereen met SSL beveiliging op zijn site aan om het wachtwoord te wijzigen! Onze klanten hebben daarvoor ook een e-mail gehad.

2 reacties

  1. Mark van Barneveld

    april 14, 2014 at 9:15 am

    Hi Marin, goede toelichting! De bug heet Heartbleed omdat de functie waarin de bug zich bevind Heartbeat heet. De functie zorgt voor het in stand houden van de verbinding tussen server en client. Ik hoop dat jij en je relaties geen overlast hebben van de bug!
    Groeten, Mark

    • Marin

      april 14, 2014 at 9:22 am

      Hoi Mark,

      Dank voor je reactie. Het klopt inderdaad maar ik vond het wat ver gaan om de functie “heartbeat” uit te leggen :). We hebben er niks van gemerkt, maar alles wijzigen/opnieuw uitgeven is wel het slimst.. Better be safe than sorry 😉

      Marin

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

© 2020 Marin Heideman’s BLOG

Thema gemaakt door Anders NorenBoven ↑