SSL 3.0 Fallback ermöglicht Angriffe, Google Security zeigt Lösung

Das Google Security Team hat Details veröffentlicht, wie sich der Fallback auf SSL 3.0 bei verschlüsselten Verbindungen als Angriffsstelle nutzen lässt, genannt wird die Lücke POODLE. Viele Browser und Server unterstützen diese Fallback-Funktion, schlichtweg aus Kompatibilitätsgründen. Die einfachste Lösung, das Problem zu umgehen, wäre ein Verzicht auf SSL 3.0, was theoretisch auch möglich wäre. Allerdings könnte dies dann teilweise zu Kompatibilitätsproblemen führen.

Google Office

Deshalb schlägt Google eine andere Fallback-Lösung vor, nämlich TLS_FALLBACK_SCSV. Über diese Methode wird bei einer fehlgeschlagenen Verbindung eben kein Fallback auf SSL 3.0 angeboten, sondern erneut eine Verbindung aufgebaut. So wird quasi der Moment des möglichen Angriffs gar nicht erst gegeben. Google Chrome und Google Server unterstützen das neue Fallback-Element bereits seit Februar, sodass Google davon ausgeht, dass es keine Kompatibilitätsprobleme gibt.

Chrome wird nun ebenfalls komplett auf die neue Methode umgestellt. Das wird zur Folge haben, dass sich manche Seiten nicht mehr aufrufen lassen (die, die nur SSL 3.0 bieten). Diese Seiten müssten dann entsprechend angepasst werden. Google hofft, in den nächsten Monaten SSL 3.0 bei den eigenen Produkten komplett deaktivieren zu können.

Details zu der Fallback-Lücke findet Ihr in diesem Dokument, welches überraschenderweise angenehm knapp ausfällt. Eure eigenen Server lassen sich diesbezüglich hier testen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Als Information, weil im Artikel nur Chrome erwähnt wird: Firefox unterstützt ab Version 34, welche in sechs Wochen erscheint, kein SSL 3.0 mehr.

  2. es müsste viel Radikaler alte unsichere Protokolle aus den Browsern gestrichen werden, wenn dann noch ein Großteil der Banken noch nicht mal bei TSL 1.2 angekommen sind wird einen schlecht.

  3. @Sören, man muss nicht auf FF 34 warten, security.tls.version.min via about:config auf 1 setzen kann man auch jetzt schon.

  4. Wo erkennt man den an diesem Test das die Seite noch SSL3 unterstützt?

    PS:
    Wie kann man den eigene Bilder einblenden? Muss man zwangsläufig bei WordPress registriert sein oder reicht ein eigen gehosteter Blog hierzu?

  5. Und wer kann kein SSL3 ? Kack Microsoft legacy stuff ?

  6. Wann kommt SSL Standardmäßig hier im Blog? 😉

  7. @LordLord: Du meinst Avatar-Bilder? Am einfachsten: Bei http://de.gravatar.com/ Registrieren und hier dieselbe E-Mail Adresse nutzen. Funktioniert so in nahezu allen Blogs die auf WordPress basieren.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.