Auf heise.de wurde heute der Heartbleed-Check von lastpass.com referenziert.Die Software ist aber absoluter Müll und sollte nicht für eine qualifizierte Aussage darüber, ob ein Server für Heartbleed anfällig ist oder nicht herangezogen werden.
Nach allem Anschein, scheint die Software nur zu prüfen, welche Server-Software (HTTP-Header "Server") verwendet wird und ob diese eventuell OpenSSL verwendet. Zusätzlich wird noch geprüft, wann das Zertifikat ausgestellt wurde und ob dieser Zeitpunkt vor vergangenem Dienstag (dem 8.4.2014) liegt.
So etwas als Heartbleed-Test zu verkaufen ist falsch und grob fahrlässig. Zu raten, ob eine Software die sich im HTTP-Header als "Apache" ausgibt folglich auch OpenSSL verwendet ist schon falsch. Es ist mit Apache auch möglich GnuTLS zu verwenden. Statistisch gesehen tut das niemand, aber möglich ist es. Zudem ist es notwendig zu prüfen, ob die Heartbeat-Extension überhaupt im TLS-Handshake angeboten wird bzw. praktisch genutzt werden kann - nichts von beidem geschieht hier. Ich habe sowohl Server getestet, die OpenSSL 0.9.8 verwenden (und Heartbeat gar nicht können), die OpenSSL 1.0.1 ohne Heartbeat (-DOPENSSL_NO_HEARTBEATS) verwenden und solche, die mit der aktuellsten nicht anfälligen OpenSSL-Version laufen. Alle werden als gefährlich eingestuft.
Weiter ist auch das Gültigkeitsdatum im Zertifikat kein Hinweis darauf, dass das Zertifikat vor dem 8.4.2014 ausgestellt wurde. Wird ein Zertifikat wegen Kompromittierung des Schlüssels ausgetauscht, erhält man unter Umständen das selbe Zertifikat nur für einen anderen privaten Schlüssel. Das Zertifikat ist daher nicht mehr anfällig. Legitim wäre der Test, wenn man in der CRL des Ausstellers nachsieht, ob das Zertifikat zwischenzeitlich widerrufen wurde - das wird aber wenig praktikabel sein.
Leider hat auch heise.de in diesem Fall mächtig daneben gegriffen, nachdem mich schon die Bild-ähnlichen Überschriften zu diesem Thema aufgeregt haben, haben sie es nun auch inhaltlich unterstrichen.Zu LastPass sei gesagt, dass sie es bestimmt gut gemeint, aber eben schlecht gemacht haben. Immerhin funktioniert der Test in diese eine Richtung falsch: Lieber einmal zuviel falsch warnen als einmal zuviel entwarnen.
