SSL 3.0 Fallback ermöglicht Angriffe, Google Security zeigt Lösung

15. Oktober 2014 Kategorie: Backup & Security, Google, Internet, geschrieben von:

Das Google Security Team hat Details veröffentlicht, wie sich der Fallback auf SSL 3.0 bei verschlüsselten Verbindungen als Angriffsstelle nutzen lässt, genannt wird die Lücke POODLE. Viele Browser und Server unterstützen diese Fallback-Funktion, schlichtweg aus Kompatibilitätsgründen. Die einfachste Lösung, das Problem zu umgehen, wäre ein Verzicht auf SSL 3.0, was theoretisch auch möglich wäre. Allerdings könnte dies dann teilweise zu Kompatibilitätsproblemen führen.

Google Office

Deshalb schlägt Google eine andere Fallback-Lösung vor, nämlich TLS_FALLBACK_SCSV. Über diese Methode wird bei einer fehlgeschlagenen Verbindung eben kein Fallback auf SSL 3.0 angeboten, sondern erneut eine Verbindung aufgebaut. So wird quasi der Moment des möglichen Angriffs gar nicht erst gegeben. Google Chrome und Google Server unterstützen das neue Fallback-Element bereits seit Februar, sodass Google davon ausgeht, dass es keine Kompatibilitätsprobleme gibt.

Chrome wird nun ebenfalls komplett auf die neue Methode umgestellt. Das wird zur Folge haben, dass sich manche Seiten nicht mehr aufrufen lassen (die, die nur SSL 3.0 bieten). Diese Seiten müssten dann entsprechend angepasst werden. Google hofft, in den nächsten Monaten SSL 3.0 bei den eigenen Produkten komplett deaktivieren zu können.

Details zu der Fallback-Lücke findet Ihr in diesem Dokument, welches überraschenderweise angenehm knapp ausfällt. Eure eigenen Server lassen sich diesbezüglich hier testen.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Quelle: Google Security |

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9407 Artikel geschrieben.