Professionelles Webdesign aus Wien

Professionelles Webdesign bedeutet sich auf mehr als nur die Grafische Gestaltung einer Webseite zu fokussieren

SSL 3.0 ist nicht länger als Sicher eingestuft!

15. Oktober 2014
geschrieben von  Ing. Stefan Polzer
Artikel bewerten
(2 Stimmen)
SSLv3 ist nicht länger sicher

Heute wurde bekannt, dass das nun in die Jahre gekommene SSL 3.0 eine Sicherheitslücke aufweist. Herausgefunden haben dies drei Forscher von Google Inc. SSL steht für "Secure Sockets Layer" und ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten. Es kommt vor allem im Bereich Online-Banking oder Online-Shopping zum Einsatz um Daten wie Kreditkartennummern, Bankdaten aber auch Passwörter und andere sensible Daten zu schützen. In einem Browser ist leicht zu erkennen, ob ein verschlüsseltes Protokoll zum Einsatz kommt. Meist steht vor der URL ein "https. Leider ist aber nicht zu erkennen welche Verschlüsselungsart zum Einsatz kommt."

https ist nicht gleich https und die Sicherheitslücke in SSL 3.0 oder kurz SSLv3, ermöglicht es Hackern die Benuzerkonten von eMail oder OnlineBanking Anbietern zu übernehmen, in dem Sie die Browser Cookies durch eine sogenannte "Poodle" Attacke stehlen. "Poodle" steht dabei für Padding Oracle On Downloaded Legacy Encryption.

Browserhersteller sind jetzt angehalten SSL 3.0 nicht weiter zu unterstützen.

Vorkehrungsmaßnahmen für Internetnutzer

Firefox Für Firefox Anwender

Mozilla hat sofort reagiert und angekündigt, dass SSL 3.0 ab Firefox 34 nicht mehr unterstützt wird. Es ist aber nicht notwendig bis zum 25. November zu warten. Mozilla hat ein Plugin mit dem Namen SSL Version Control online gestellt, dass es ermöglicht TLS 1.0 - oder höher - als Verschlüsselungsprotokoll zu verwenden.

Internet Explorer Für Internet Explorer

Im Internet Explorer gibt es die Möglichkeit SSL 3.0 zu deaktivieren. Dafür muss man nur unter der Einstellung Internetoptionen > Erweitert in der Rubrik Sicherheit, den Haken für SSL 3.0 entfernen und mit OK bestätigen.

Google Chrome Für Google Chrome

Unter Google Chrome ist derzeit eine direkte Einstellung nicht möglich. Es lässt sich allerdings beim starten ein Parameter übergeben der Google Chrome dazu bringt SSL 3.0 nicht zu verwenden. Am leichtesten lässt sich das bewerkstelligen, wenn man eine Verknüpfung zu Google Chrome z.B. am Desktop hat und diese mit --ssl-version-min=tls1 am Ende ergänzt. Dies funktioniert sowohl unter Windows, als auch unter MAC OS und Linux

Wichtig: Wenn man mehr als eine Verknüpfung auf seinem Computer hat, muss dies für jede Verknüpfung gemacht werden. Wenn Google Chrome allerdings direkt startet, wird SSL 3.0 weiterhin unterstützt.

Überprüfung der Einstellungen

Um sicherzugehen dass alle Einstellungen richtig funktionieren, sollte man diese auch überprüfen. Aufgrund der aktuellen Erkenntnisse gibt es dafür auch bereits einen Onlinetest für den "Poodle" Bug. Einfach die Seite im Browser öffnen und sofort sehen ob SSL 3.0 noch unterstützt wird.

Sicherheitstipps für Webseitenbetreiber

Wenn Sie eine Webseite mit SSL betreiben, kann es nicht schaden zu überprüfen ob Ihr Server SSL 3.0 einsetzt. Vor allem im Interesse Ihrer Kunden, wenn diese sensible Daten auf Ihrer Webseite eingeben, sollte in Erwägung gezogen werden SSL 3.0 nicht weiter zu unterstützen. Die gängigsten Browser unterstützen bereits TLS 1.0 oder höher. Um erst einmal zu prüfen ob das bei Ihnen überhaupt notwendig ist, sollten Sie einen SSL Server Test für Ihre Webseite starten.

Bei Shared Hosting haben Sie in den meisten Fällen keine Möglichkeit SSL 3.0 selber zu deaktivieren. Wenn Ihr Provider jedoch flexibel ist, hat dieser die Möglichkeit SSL 3.0 für Ihre Webseite zu deaktivieren oder die Webseite auf einen Server zu transferieren, bei dem SSL 3.0 deaktiviert ist.

In manchen Fällen ist das deaktivieren von SSL 3.0 nur dann möglich wenn man einen eigenen Root Server oder Virtuellen Root Server für seine Webseite hat. In disem Fall ist die Deaktivierung auf jeden Fall möglich, bedarf aber in den meisten Fällen entsprechender Fachkenntnisse.

Wenn Sie eine Webseite mit SSL 3.0 Unterstützung haben und diese gerne deaktivieren möchten, aber nicht das nötige Wissen haben, können Sie sich gerne auch an mich wenden.

Ing. Stefan Polzer

Ing. Stefan Polzer

Webdesigner & Trainer

Seit 2001 im Bereich der Informatik tätig. Derzeit selbständiger Webdesigner. Die größte Leidenschaft ist es, dass eigene Wissen an andere weiterzugeben.

@

E-Mail

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Adresse

Korpitsch 68
A-9587 Finkenstein am Faaker See