Nadat Heartbleed, het lek in OpenSSL, vorige maand pijnlijk in de openbaarheid kwam, hebben beveiligingsbedrijven direct drie belangrijke stappen neergelegd die website-eigenaren moesten nemen om hun beveiligde verbindingen weer betrouwbaar te maken.

Die drie stappen zijn: 1. vervang je SSL-certificaten, 2. trek de oude certificaten in, 3. gebruik een nieuwe private key. Volgens Internetbeveiligingsbedrijf Netcraft heeft slechts 14 procent van alle getroffen websites die drie stappen gevolgd.

Wel certificaten vervangen, maar niet de private key

Van de getroffen websites heeft 5 procent wel de certificaten vervangen, maar zonder dat de private key is vervangen. Cruciaal is dat public keys die zorgen voor de verificatie van de beveiligde verbinding gegenereerd worden van de private key. Als die laatste niet is vervangen, zijn de SSL-certificaten die de public keys in zich hebben net zo waardeloos als hun voorgangers.

Heartbleed heeft ervoor gezorgd dat aanvallers mogelijk de private key van een website hebben kunnen stelen. Dat is zeer waardevol voor criminelen omdat zij via die private key een valse website in de lucht kunnen brengen die doet alsof hij de originele website is, compleet dus met een volledig betrouwbare SSL-verbinding.

Misbruik van private keys blijft dus mogelijk

Zolang de private key dus door de rechtmatige eigenaar niet is vervangen en ingetrokken, blijft misbruik van de gestolen private key mogelijk en is de aanmaak van nieuwe certificaten op basis van die private key volledig nutteloos. En dat terwijl de website-admins denken alles gedaan te hebben om Heartbleed te stoppen.

Volgens Netcraft heeft ook nog eens 57 procent van de betrokken websites geen enkele actie ondernomen en heeft 21 procent wel een nieuwe private key gebruikt om certificaten aan te maken maar hebben ze de oude private key niet buiten werking gesteld.