Meer dan 30.000 SSL-certificaten die wegens de Heartbleed-bug in OpenSSL werden vervangen zijn mogelijk kwetsbaar omdat de nieuwe SSL-certificaten dezelfde potentieel kwetsbare privésleutel gebruiken. Dat ontdekte internetbedrijf Netcraft na onderzoek naar door Heartbleed getroffen websites.
SSL-certificaten worden gebruikt voor het identificeren van websites en het versleutelen van verkeer tussen website en bezoekers. De certificaten beschikken over een publieke sleutel die wordt gegenereerd aan de hand van de bijbehorende privésleutel. Bij het opzetten van een beveiligde verbinding bewijst de server dat het de privésleutel heeft door berichten te ontsleutelen die met de publieke sleutel waren versleuteld, of door het cryptografisch signeren van de eigen berichten.
Een aanvaller die de privésleutel weet buit te maken is in staat, als er bijvoorbeeld geen perfect forward secrecy wordt gebruikt waar elke sessie over een unieke sleutel beschikt, om het verkeer te ontsleutelen. Ook is het mogelijk om een man-in-the-middle-aanval uit te voeren en phishingsites op te zetten. De Heartbleed-bug in OpenSSL maakte het mogelijk om informatie uit het geheugen van webservers te stelen, waaronder ook de privésleutel van SSL-certificaten.
Vanwege Heartbleed besloten veel websites compleet nieuwe SSL-certificaten aan te schaffen of bestaande certificaten te vervangen. Er blijken echter veel websites te zijn die voor meer dan 30.000 vervangende certificaten dezelfde privésleutel hebben gebruikt. De websites lopen daardoor nog steeds hetzelfde risico als voor de vervanging van de certificaten. Paul Mutton van Netcraft merkt op dat het met een gestolen privésleutel nog steeds mogelijk is om het nieuwe SSL-certificaat te imiteren, zelfs als het oude certificaat is ingetrokken.
Van de websites die risico door de Heartbleed-bug lopen heeft 57% nog geen enkele actie ondernomen, terwijl 43% het oude SSL-certificaat heeft vervangen. 21% heeft de SSL-certificaten met een nieuwe privésleutel vervangen, maar de oude certificaten niet ingetrokken. 5% van de sites heeft de fout gemaakt door nieuwe certificaten uit te geven zonder de privésleutel te wijzigen.
Mutton merkt op dat veel beheerders van deze sites denken dat ze veilig zijn en het probleem hebben opgelost. 2% heeft en dezelfde privésleutel hergebruikt en het oude certificaat niet ingetrokken. Slechts 14% van de websites die kwetsbaar waren heeft alle drie de stappen doorlopen: vervangen van het SSL-certificaat, het gebruik van een andere privésleutel en het intrekken van het oude certificaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.