Was ist «Heartbleed»?
Die von SSL (Secure Sockets Layer) und TLS (Transport Layer Security) genutzte Software «OpenSSL» verschlüsselt die digitale Kommunikation zwischen einem Webseiten-Besucher oder einem Nutzer eines Internet-Dienstes und dem dazugehörigen Webserver. Die nun entdeckte Lücke kann dazu verwendet werden, den Datenverkehr mitzuhören und zu entschlüsseln.
Die Lücke wird «Heartbleed» («Herzbluten») genannt. Auf den Namen ist man gekommen, da der Fehler in der Implementierung der TLS-Erweiterung «Heartbeat» («Herzschlag») steckt. Der Name wurde also von der fehlerhaften OpenSSL-Komponente abgeleitet. Heartbeat ist im IETF-Standard RFC 6520 spezifiziert und ermöglicht es, langlebige TLS-Verbindungen aufrecht zu erhalten. Dazu wird periodisch ein Keepalive-Signal gesendet, damit die Verbindung nicht nach einer gewissen Zeit abgebrochen wird. Wie Experten montieren, bräuchten die meisten Server eine solche Funktion eigentlich gar nicht, sie ist
