Neuer Release OSS-Modul mod_sslcrl Zertifikatssperrlisten automatisch updaten

Nach dem Heartbleed-Bug in OpenSSL ersetzen viele Betreiber die Zertifikate auf ihren Web-Servern und lassen die alten, potentiell kompromittierten Zertifikate sperren. Dies bringt aber nur dann etwas, wenn stets die aktuellen Sperrlisten verwendet werden. Mit dem Open-Source-Apache-Modul mod_sslcrl lässt sich die Aktualisierung auf dem Web-Server automatisieren. Mit der neusten Version des Moduls werden auch die Server-Zertifikate von kontaktierten Web-Servern überprüft.

„Erneuert eure Server-Zertifikate!“ ist aktuell in vielen Blog-Einträgen zum OpenSSL Heartbleed Bug zu lesen. Tatsächlich befolgen viele Administratoren vorsorglich diesen Rat.1 Bei der Erneuerung eines bestehenden Zertifikats muss das alte natürlich gesperrt werden. Dazu „revoziert“ die Ausgabestelle (Certificate Authority, kurz CA) das alte Zertifikat und setzt es auf die regelmässig publizierte Sperrliste, die Certificate Revocation List (CRL). 

 

Das Sperren von potentiell kompromittierten Zertifikaten bringt aber nur dann etwas, wenn Browser und Web-Server immer die aktuellen Sperrlisten verwenden. Browserhersteller verfolgen hier unterschiedliche Ansätze. So verteilen sie beispielsweise Sperrlisten direkt mit Softwareupdates oder sie lassen die Browser die CRLs selbst herunterladen oder die Gültigkeit von Zertifikaten in Echtzeit mittels Online Certificate Status Protocol (OCSP) prüfen.

 

Wer selber einen Web-Server betreibt, muss in der Regel selbst dafür sorgen, dass sein Web-Server regelmässig die aktuellen CRLs erhält, um die Zertifikate von Klienten (Browser) oder anderer Servern zu prüfen. Um hier die Administration zu erleichtern, hat AdNovum mit mod_sslcrl eine Erweiterung zum Apache Web Server entwickelt, dem noch heute meist verbreiteten Web Server der Welt2. mod_sslcrl ist eine Ergänzung zu mod_ssl3  und kann auf unserer Web-Seite opensource.adnovum.ch gratis bezogen werden. Einmal im eigenen Web-Server installiert und konfiguriert, lädt mod_sslcrl selbständig und in regelmässigen Abständen die Sperrlisten der definierten CAs herunter, aktiviert sie im Web-Server und prüft Zertifikate gegen diese Sperrlisten.

Nun auch für ausgehende Verbindungen

Bisweilen rufen Web-Server ihrerseits andere Web-Server auf, um mit ihnen Daten auszutauschen. Mit der neusten Version von mod_sslcrl wird dies adressiert. mod_sslcrl prüft nun auch bei ausgehenden Verbindungen, z.B. initiiert mittels mod_proxy4 oder mod_auth_oid5, das Zertifikat des kontaktieren Web-Servers gegen die CRLs, die es zuvor selber heruntergeladen hat. Das Modul gewährleistet eine umfassende Anwendung der CRLs und aktualisiert sie laufend. Die Sperrlisten müssen nicht mehr manuell installiert und aktiviert werden.