Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 707998

icertificate GmbH (SSLplus) Werner-von-Siemens-Str. 15 53340 Meckenheim, Deutschland https://www.sslplus.de
Ansprechpartner:in Herr Henning Eiden +49 228 90907050

Vorsicht bissiger Pudel: Sicherheitslück in SSL Version 3.0

Fehler im längst verstaubten Verschlüsselungsprotokoll SSL 3.0 kann auch bei aktuellen Internetbrowsern Schwachstelle freilegen um sensible Daten zu entwenden

(PresseBox) (Bonn, )
Wenn auch ein veraltetes und bekanntermaßen unsicheres Protokoll findet SSL 3.0 noch immer als Fallback Einsatz in vielen Browsern und anderen Anwendungen, die Daten mit SSL/TLS verschlüsseln.

Schon seit einiger Zeit wurde SSL 3.0 durch die Nachfolgeprotokolle TLS 1.x ersetzt. Jetzt haben die Google Entwickler Bodo Möller, Thai Duong und Krzysztof Kotowicz in einer Note (https://www.openssl.org/...) veröffentlicht, wie sich Lücken in der SSL 3.0 Implementierung ausnutzen lassen.

Sollten sich Server und Anwendungsprogramm nicht auf einen fortschrittlichen Verschlüsselungsmechanismus einigen kann es zu einem Fallback auf SSL 3.0 kommen. Hier kommt für die Verschlüsselung entweder der unsichere Mechanismus RC4 oder ein Mechanismus aus der CBC Sammlung zum Einsatz.

Die Entwickler zeigen auf, dass es möglich ist CBC verschlüsselte Informationen erfolgreich anzugreifen. Es gibt gegen diese Angriffe anders als bei BEAST oder Luck-13 keinen funktionierenden Bugfix oder Workaround. Damit bleibt für SSL 3.0 keine sichere Chiffre, die als Alternative verwendet werden könnte.

Der Poodle("Padding Oracle On Downgraded Legacy Encryption")-Angriff ist verhältnismäßig einfach durchführbar. Es wird dem Server im HTTPS-Verbindungsaufbau vorgetäuscht nur diese veraltete Verschlüsselungsmethode verwenden zu können. Im Extremfall kann dies dazu führen, dass eigentlich sicher geschätzte Inhalt wie die Login-Daten ihres Online-Bankings, von dem Angreifer mitgelesen werden können.

Bodo Möller, Thai Duong und Krzysztof Kotowicz empfehlen in Ihrer Veröffentlichung, serverseitig SSL 3.0 abzustellen.

Momentan bereiten die Browserhersteller entsprechende Updates vor, um den SSL 3.0 Support aus den eigenen Produkten zu entfernen, bzw. per Standardeinstellung zumindest abzuschalten. Momentan ist es jedoch am Nutzer dies manuell zu unternehmen. Bei Clients wie Chrome oder Firefox kann wie folgt vorgegangen werden:

- Im Mozilla Firefox rufen Sie hierfür in der Adresszeile "about:config" auf, suchen nach "tls". Bei dem Ergebnis "security.tls.version.min" stellen Sie den Wert auf "1"

- Bei Google Chrome starten Sie den Browser mit der Option "--ssl-version-min=tlsl"

- Im Internet Explorer wählen Sie unter den "Internetoptionen" unter "Erweitert" die Option "SSL 3.0 verwenden" ab

Details zu den Umstellungen, die an den Browsern und Servern vorgenommen werden sollten, finden sich auch unter https://icertificate.eu/...

Generell gilt natürlich: Man sollte Internet Browser auf einem möglichst aktuellen Stand halten!

Website Promotion

Website Promotion
Poodle Workaround

icertificate GmbH (SSLplus)

Die icertificate GmbH ist ein führender Distributor für digitale Verschlüsselung. Das Unternehmen bietet privaten wie gewerblichen Webseitenbetreibern günstige Konditionen für namhafte SSL-Zertifikate, PKI, Emailsignaturen und Trust-Seals. Das heutige Angebot umfasst unter anderem Produkte von Symantec, GeoTrust, Comodo, DigiCert, Thawte, GlobalSign, RapidSSL und AlphaSSL.

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.