Kurze Meldung in eigener Sache: am Donnerstag bekam ich eine dringende Nachricht meines Hosters: angeblich sei mein Web Server missbraucht worden. Ich bekam etwa 74h Zeit Maßnahmen zu ergreifen und mich zu äußern.
Also gut dachte ich, es wird Zeit Sicherheitsmaßnahmen zu ergreifen…Also worum ging es genau und was war zu tun?
Es sollte sich um einen unter dem Namen „Drown“ bekannten Angriff handeln. Dieser nutzt unsichere Zertifikate aus. Es gibt hier zwei Varianten wie man vorgehen kann, um dem entgegen zu wirken:
- Update des OpenSSL Pakets auf dem Server (apt-get install openssl nachdem man zuvor apt-get update ausgeführt hat)
- Ausschließen von SSL2 Zertifikaten für den Apache Webserver. Dies passiert auf Debian Servern in der Datei ssl.conf in dem Verzeichnis /etc/apache2/mods-enabled
Alternativ kann man auch den ganzen Server über die übliche Debian Update Vorgehensweise updaten. In meinem Fall führte dies dazu, dass mindestens schon danach das als unsicher geltende SSL2 im Webserver deaktiviert war. Vorsichtshalber kann man noch gleich SSL3 mit deaktivieren, da dies auch nicht viel besser sein soll:
SSLProtocol all -SSLv2 -SSLv3
Und dann kam heute die Meldung das alles nur ein „Fehlalarm“ war…