Sind die OSM-Server auch vom Hearbleed-Bug http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html betroffen ?
zumindest jetzt nicht mehr: http://possible.lv/tools/hb/?domain=openstreetmap.org. Das Zertifikat ist jedenfalls erst vor kurzem ausgestellt worden, also waren die osm-server vermutlich auch betroffen, und es ist ein neues Zertifikat erstellt worden.
mfg, pointhi
“auch”, du kannst davon ausgehen, dass im wesentlichen -alle- Dienste die über SSL angeboten wurden betroffen waren, der einzige Unterschied ist wie schnell Updates und neue Zertifikate eingespielt wurden. Da es Berichte gibt, dass praktisch unmittelbar nach dem bekanntwerden des Problems, auf Konten eingebrochen wurde, ist das vernünfitige Verhalten sobald neue Zertifikate für ein Dienst eingerichtet wurden, seine Passwörter zu ändern.
Die Zertfikate für openstreetmap.org und die Tilecaches wurden heute am frühen Abend ersetzt, also … siehe oben.
Simon
PS: das Forum wird noch nicht von der OSMF betrieben.
Die SSL-Konfig der servers schaut relativ gut aus: https://www.ssllabs.com/ssltest/analyze.html?d=openstreetmap.org&s=193.63.75.103 Perfect Forward Secrecy ist wenn möglich aktiviert. Damit wird zumindest ein nachträgliches entschlüsseln von verbindungen so gut wie unmöglich. Ich frag mich nur, warum nur Diff-Hellman, und nicht auch Eliptische Kurven dafür verwendet werden.
Auch ist ein SHA1 verschlüsseltes zertifikat eigentlich nicht mehr als sicher zu betrachten, auch wenn 90% aller websiten so eines verwenden. 3DES ist meines wissens auch nicht mehr auf den stand der zeit. Villeicht sollte man mal ein wenig darüber diskutieren, ob eine änderung der ssl konfiguration nicht überlegenswert ist. OSM ist jetzt sicher nicht schlecht verschlüsselt, aber meinem (wenigen) kryptographischen Wissens nach könnte man noch ein wenig mehr schaffen. Ich könnte mich aber auch in der hinsicht irren.
mfg, pointhi
Soweit ich weis war die Luecke in den OSM Servern innerhalb weniger Stunden nach bekannt werden gepatched. Auch bei bekannt werden von Sicherheitsluecken in Rails sind die OSM admins normalerweise sehr schnell mit dem einspielen von Patches! Passwoerter werden auch mit starken hash Funktionen (SHA512 mit ein paar tausend Iterationen) abgesichert und auch die mailserver verwenden wo moeglich TLS um den Verkehr und deren Metadaten abzusichern. insgesammt wuerde ich eigentlich von einem ziemlich hohen Schutzstandard bei OSM sprechen und die Admins nehmen das Thema Sicherheit ziemlich ernst.
Der Grund wieso die Hauptseite nicht ECDHE unterstuetz sondern nur DHE ist das Apache 2.2, welches teil von Ubuntu 12.04 LTS ist, dieses nicht beherrscht. Die tileserver, die auf Squid basieren verwenden hingegen ECDHE und sind mit TLS 1.2 auch auf dem neuesten standard. 3DES wird lediglich mit IE6 verwendet und liegt eher am Browser als am Server.
Auf wie das Zertifikat abgesichert ist hat OSM so weit ich weis auch keinen Einfluss sondern liegt an der verwendeten CA.
Es scheint hier irgendwie ein Misverständnis vorzuliegen. Das Fiese an heartbleed ist das es überhaupt nicht vom sicheren oder nicht-sicheren Betrieb der Dienste abhängt, wenn überhaupt ist es eher so, dass Betriebe die versucht haben alles möglichst sicher zu machen mehr davon betroffen sind. Weiter ist es nicht nötig irgendwo einzubrechen oder sonst irgendwie gross Spuren zu hinterlassen um den Fehler auszunutzen.
Das Forum ist anscheinend auch über https erreichbar, aber der Apache ist noch nicht zu Ende konfiguriert. Dürfen wir weiter auf Verschlüsselung hoffen? 
Glenn Greenwald schildert in seinem druckfrischen Buch äußerst treffend, wie lange er aus reiner Faulheit mit der Verschlüsselung seiner privaten Kommunikation (v.a. Mail) gezögert hat und Snowden ihn (noch anonym) über Wochen und Monate dazu ermahnt hat. Dieses Verhalten ist bei wirklich jedem zu beobachten. Wir scheren uns nicht darum, weil es halt keine direkten, negativen Auswirkungen mit sich zieht. Bitte, bitte, verschlüsselt alles, was geht! 
AFAIK ist das Forum noch nicht gezügelt (d.h. auf OSMF Infrastruktur).
Passiert bald was? Ich bin es leid, Passwörter im Klartext zu übertragen! Langsam vergeht mir die Lust, mich hier nochmal einzuloggen. 
Nimm halt ein andres Passwort als bei PayPal, dann ist es nicht so schlimm 