Lösung: Das hilft gegen die SSL-Sicherheitslücke „Poodle“

Das hilft gegen die SSL-Sicherheitslücke: SSL im Browser abschalten. Drei Mitarbeiter von Google haben eine Sicherheitslücke in dem eigentlich als sicher geltenden SSL-Protokoll gefunden: Das bereits 15 Jahre alte Protokoll „SSL 3.0“ wurde zwar mittlerweile von dem sicheren Nachfolger „TLS“ abgelöst, trotzdem unterstützen alle aktuellen Browser noch das anfällige Protokoll – und nutzen es automatisch, wenn eine Verbindung mit dem neuen TLS Protokoll fehlschlägt.

Das SSL Protokoll (Secure Sockets Layer) soll eigentlich die Verbindung zwischen dem Browser und dem Server, der die Webseite ausliefert, verschlüsseln: SSL oder TLS werden zum Beispiel bei einer https Verbindung eingesetzt – die von Banken und Online-Shops häufig eingesetzt wird. So werden die Daten zwischen Browser und Server nicht im Klartext übertragen und lassen sich nicht von einem Hacker, der den Netzwerkverkehr überwacht, abfangen. Mittlerweile wird fast ausschließlich das neuere TLS Protokoll (Transport Layer Security) verwendet – alle gängigen Browser und die meisten Webserver unterstützen aber beide Versionen. Durch die Schwachstelle in dem älteren SSL Protokoll ist es laut den drei Google-Mitarbeitern aber möglich, die eigentlich sicher versendeten Daten abzufangen. Die Entdecker der Sicherheitslücke Bodo Möller, Thai Duang und Krzysztof Kotowicz nannten die Lücke „Poodle“ als Abkürzung für Padding Oracle on Downgraded Legacy Encryption.

SSL Sicherheitslücke: Firefox und Internet Explorer absichern:

Um sich vor Angriffen auf eigentlich verschlüsselte https Verbindungen zu schützen, sollte die Unterstützung für das veraltete SSL 3.0 Protokoll abgeschaltet werden. Bei dem Firefox-Browser und Microsofts Internet-Explorer geht das über die Einstellungen, die kommenden Versionen von Firefox und Chrome sollen außerdem ohne Unterstützung für das alte SSL Protokoll ausgeliefert werden.

Firefox absichern:

Im Firefox lässt sich dies in den Einstellungen deaktivieren – dazu muss man in die Adressleiste „about:config“ eingeben. Auf der sich öffnenden Konfigurations-Seite muss der Wert der TLS-Version von 0 auf 1 geändert werden: Ab sofort verlangt Firefox mindestens eine TLS 1.0 Verbindung und unterstützt das alte SSL 3.0 Protokoll nicht mehr.

Video: So schaltet man SSL 3.0 im Firefox aus:

SSL 3 im Internet Explorer abschalten:

Im Microsoft Internet Explorer kann man die Unterstützung für SSL 3.0 in den Einstellungen ebenfalls deaktivieren: Dazu öffnet man die Einstellungen mit einem Klick auf das Zahnrad rechts oben und wählt in dem Menü die „Internetoptionen“. Unter „Erweitert“ lässt sich dann SSL 3.0 deaktivieren.