Die Sicherheitslücke "Poodle" in SSL gefährdet Passwörter
Inhaltsverzeichnis |
Allgemeines
Sicherheitsexperten von Google haben im Oktober 2010 eine neue Sicherheitslücke entdeckt. Es handelt sich um das seit 15 Jahren eingesetzte, aber immer noch genutzte SSL-Protokoll 3.0. Der gefundenen Sicherheitsschwäche wurde der Name "Poodle" (auf deutsch: Pudel) gegeben, da sich der Name aus der Funktionsweise der Anfälligkeit ergibt: Padding Oracle On Downgraded Legacy Encryption. Zwar wird SSLv3 unter normalen Umständen kaum noch direkt verwendet, jedoch ist sie nach wie vor als Fallback in Server- und Client-Software enthalten; auch bei allen aktuellen Browsern, die SSLv3 immer dann nutzen, wenn eine Verbindung per TLS fehlschlägt. Ein Angreifer kann die Lücke ausnutzen, indem er eine TLS-Verbindung gezielt stört. Dann schalten die Browser auf SSLv3 zurück und der Angreifer kann die Lücke ausnutzen, um Passwörter z.B. von Mailaccounts oder Online-Banking abzufangen.
Gaia hat SSLv3 am 22.10.2014 deaktiviert. Prinzipiell sollte zum Schutz die SSLv3-Unterstützung in Ihrem Browser oder Mailprogramm deaktiviert bzw. durch TLS ersetzt werden.
Mozilla Firefox
- In Adresszeile about:config eingeben
- Suchen Sie den Wert security.tls.version.min und setzen Sie ihn auf auf den Wert 1.
Dies funktioniert auch bei der mobilen Version für Android. Wer nichts direkt in den config-Einstellungen ändern will, kann alternativ das Add-on SSL 3.0 oder Version Control installieren.
Internet Explorer
- Einstellungen / Internetoptionen
- Öffnen Sie den Reiter Erweitert und entfernen Sie den Haken bei SSL 3.0.
- Aktivieren Sie TLS
ACHTUNG:
Beim völlig veralteten Internet Explorer 6 (Windows 2000) ist dies nicht möglich, hier hilft nur ein Update. Bei Windows Vista ist TLS deaktiviert. Näheres dazu hier: Explorer 8/9: TLS/SSL-Funktionen sind inaktiv
Google Chrome
Für Google Chrome ist die Umstellung nicht ganz so komfortabel vorzunehmen.
- Kopieren Sie die Verknüpfung von Chrome auf dem Desktop und benennen Sie diese Chrome ohne SSLv3.
- Öffnen Sie die Eigenschaften der neuen Verknüpfung mit Mausklick rechts. Im Reiter Verknüfung geben Sie im Eingabefeld Ziel den Zusatz -ssl-version-min=tls1 am Ende des Dateipfades ein.
Apple Safari
Für Safari ist bisher keine Möglichkeit bekannt, die Unterstützung für SSL 3.0 zu deaktivieren. Sowohl die OS X- als auch die iOS-Variante sind somit anfällig für die Sicherheitslücke.
Java
Wer Java installiert hat, muß auch hier manuell nachbessern:
- Systemsteuerung - Java - Erweitert
- Entfernen Sie den Haken bei SSL2.0 und SSL3.0.
Der in Blackberry 10.2.2 integrierte Web-Browser ist immun gegen die SSL-Lücke.
Mozilla Thunderbird
- Extras / Einstellungen
- Register Allgemein / Button Konfiguration bearbeiten
- Bestätigen Sie die Warnmeldung Ich werde vorsichtig sein.
- Suchen Sie den Wert security.tls.version.min und setzen Sie ihn auf auf den Wert 1.
Microsoft Outlook
- Datei / Informationen / Kontoeinstellungen.
- Wählen Sie Ihr Mail-Konto aus der Liste. Mit Doppelklick öffnen Sie die Einstellungen.
- Wählen Sie Weitere Einstellungen und dort das Register Erweitert.
- Posteingangsserver Port 143 / TLS
- Postausgangsserver Port 587 / TLS