Poodle: Google findet SSL-Sicherheitslücke in allen Browsern

Drei Mitarbeiter von Google haben eine schwere Sicherheitslücke in dem eigentlich als sicher geltenden SSL-Protokoll gefunden: Das bereits 15 Jahre alte Protokoll „SSL 3.0“ wurde einst vom Browser-Hersteller Netscape entwickelt und längst von dem sichereren Nachfolger „TLS“ abgelöst. Trotzdem unterstützen alle aktuellen Browser noch das anfällige Protokoll – und nutzen es automatisch, wenn eine Verbindung mit dem neuen TLS Protokoll fehlschlägt.

Das SSL Protokoll (Secure Sockets Layer) soll eigentlich die Verbindung zwischen dem Browser und dem Server, der die Webseite ausliefert, verschlüsseln: SSL oder TLS werden zum Beispiel bei einer https Verbindung eingesetzt – die von Banken und Online-Shops häufig eingesetzt wird. So werden die Daten zwischen Browser und Server nicht im Klartext übertragen und lassen sich nicht von einem Hacker, der den Netzwerkverkehr überwacht, abfangen. Das ist gerade beim Online-Banking wichtig, aber auch viele Webshops übertragen die Bezahl- oder Anmelde-Seiten nur verschlüsselt. Mittlerweile wird fast ausschließlich das neuere TLS Protokoll (Transport Layer Security) verwendet – alle gängigen Browser und die meisten Webserver unterstützen aber beide Versionen. Durch die Schwachstelle in dem älteren SSL Protokoll ist es laut den drei Google-Mitarbeitern aber möglich, die eigentlich sicher versendeten Daten als Klartext mit zu lesen.

Die Entdecker der Sicherheitslücke Bodo Möller, Thai Duang und Krzysztof Kotowicz nannten die Lücke „Poodle“ als Abkürzung für Padding Oracle on Downgraded Legacy Encryption. Ein Angreifer könne über sich diese Sicherheitslücke als eigentlicher Empfänger der verschlüsselten Daten ausgeben und sie dann so mitlesen.

SSL Sicherheitslücke: So schütze ich mich:

Um sich vor Angriffen auf eigentlich verschlüsselte https Verbindungen zu schützen, sollte die Unterstützung für das veraltete SSL 3.0 Protokoll abgeschaltet werden. Im Firefox lässt sich dies in den Einstellungen deaktivieren – dazu muss man in die Adressleiste „about:config“ eingeben. Auf der sich öffnenden Konfigurations-Seite muss der Wert der TLS-Version von 0 auf 1 geändert werden: Ab sofort verlangt Firefox mindestens eine TLS 1.0 Verbindung und unterstützt das alte SSL 3.0 Protokoll nicht mehr.

Im Microsoft Internet Explorer kann man die Unterstützung für SSL 3.0 in den Einstellungen ebenfalls deaktivieren: Dazu öffnet man die Einstellungen mit einem Klick auf das Zahnrad rechts oben und wählt in dem Menü die „Internetoptionen“. Unter „Erweitert“ lässt sich dann SSL 3.0 deaktivieren.

Die kommenden Versionen von Firefox und Chrome sollen außerdem ohne Unterstützung für das SSL Protokoll ausgeliefert werden und eine TLS Verschlüsselung fordern.