Nachdem auf dem 25. Chaos Communication Congress (25C3) demonstriert wurde, wie ein mit MD5 signiertes SSL-Zertifikat erfolgreich ausgenutzt werden konnte, um ein eigenes gültiges Zertifikat zu erhalten, haben wir die bei uns eingerichteten Zertifikate ebenfalls überprüft.
Dabei stellten wir fest, dass die im Shared-SSL-Bereich sowie zur Absicherung von Applikationen wie Confixx, RoundCube o.ä. verwendeten SSL-Zertifikate eben diese Unsicherheit aufwiesen.
Die Zertifikate wurden neu generiert, mit einer SHA1-Signatur, und sind somit wieder sicher.
Wer seit dem Wechsel der Zertifikate eine Warnung im Browser erhält, sollte die Seite unserer Certificate Authority aufrufen, und das Zertifikat in den Browser importieren:
http://ca.aditsystems.de/
Anschließend werden unsere Zertifikate als „gültig“ anerkannt.
Von der Problematik nicht betroffen sind die Zertifikate für die Mailserver, da diese direkt von CACert.org signiert wurden.