Praxis: Browser gegen Lücke in SSL 3.0 absichern

Die als „Poodle“ (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies. Dadurch kann ein Angreifer die Identität seines Opfers annehmen. Die Lücke im Verschlüsselungsprotokoll SSL 3.0 haben die Google-Entwickler Bodo Möller, Thai Duang und Krzysztof Kotowicz entdeckt. Trotz seines Alters von 15 Jahren wird SSL 3.0 aus Kompatibilitätgründen noch fast von jedem Web-Server, der verschlüsselte Verbindungen erlaubt, genutzt. Die Entdecker der Lücke empfehlen daher, SSL 3.0 im Browser auszuschalten. Doch das gelingt nicht immer.

SSL-3.0-Support in Mozilla Firefox deaktivieren

Für Nutzer des Open-Source-Browsers Firefox ist die Deaktivierung einfach. Hierfür gibt man in der Adressleiste „about:config“ ein und setzt die Option “security.tls.version.min” auf “1″. Dadurch wird Firefox angewiesen zur Verschlüsselung das SSL-Nachfolgeprotokoll Transport Layer Security (TLS) zu nutzen. Alternativ installiert man das Add-on Disable SSL 3.0. So konfiguriert ergibt der Test auf https://www.poodletest.com/ keine Anfälligkeit für die Lücke in SSL 3.0. Praktischerweise funktioniert dies mit der mobilen Version des Mozilla-Browser unter Android genauso.

SSL-3.0-Support in Chrome deaktivieren

Auch Chrome erlaubt die Deaktivierung von SSL 3.0. Allerdings muss man hierfür beim Start des Google-Browsers den Parameter „–ssl-version-min=tls1″ übergeben. Unter Windows markiert man hierfür den entsprechenden Programmeintrag im Startmenü mit der rechten Maustaste, klickt auf Eigenschaften und ergänzt im Feld Ziel den Eintrag mit dem Startparameter. Vorsicht: Nutzt man mehrere Chrome-Verknüpfungen, muss man bei jeder einzelnen den Startparameter hinzufügen.

Unter OS X hilft ein Shell-Script, das folgenden Inhalt hat: open -a /Applications/Google\ Chrome.app/  --args --ssl-version-min=tls1

Speichert man das Script mit der Endung .command, lässt es sich mit einem Maus-Doppelklick aktivieren und Chrome wird gestartet. Falls der Test unter https://www.poodletest.com/ trotz der Einstellung als Ergebnis „Vulnerable“ ergibt, sollte man unter Einstellungen – Erweiterte Einstellungen die Browserdaten löschen. Unter iOS und Android funktioniert die Übergabe des Startparameters standardmäßig nicht. Google hat aber bereits wie Mozilla angekündigt, die Unterstützung für SSL 3.0 in der nächsten Browserversion zu deaktivieren.

SSL-3.0-Support in Internet Explorer deaktivieren

Microsofts Browser Internet Explorer erlaubt ebenfalls die Deaktivierung von SSL 3.0. Hierzu schaltet man die Option “SSL 3.0 verwenden” unter Internetoptionen – Erweitert einfach aus. Die Unterstützung für SSL 2.0 ist bereits standardmäßig nicht aktiv. Unter Windows Phone gibt es derzeit keine Möglichkeit, die Unterstützung des Internet Explorers für  SSL 3.0 abzuschalten.

SSL-3.0-Support in Safari deaktivieren

Auch für Safari ist bisher keine Möglichkeit bekannt,  die Unterstützung für SSL 3.0 zu deaktivieren. Sowohl die OS X- als auch die iOS-Variante sind somit anfällig für die Sicherheitslücke.

Fazit

Mozilla und Google haben angekündigt, die Unterstützung für SSL 3.0 in der nächsten Version ihrer Browser standardmäßig auszuschalten. Mit Firefox 34 und Chrome 39 ist man damit auf der sicheren Seite. Auch mit den hier geschilderten Möglichkeiten ist man mit den aktuellen Versionen von Chrome, Internet Explorer und Firefox gegenüber der Lücke in SSL 3.0 gewappnet. Vorsicht ist allerdings auf mobilen Geräten geboten. Weder Chrome noch Internet Explorer bieten unter Android respektive Windows Phone die Möglichkeit, die Unterstützung für das 15 Jahre alte Verschlüsselungsprotokoll zu deaktivieren. Gleiches gilt für Safari-Nutzer: Weder die Desktop-Version noch die iOS-Variante lässt sich gegenüber der SSL-Lücke absichern. Bis Apple einen Patch bereitstellt, sollte man unter OS X Firefox verwenden und unter iOS Webseiten, die eine verschlüsselte Verbindung verlangen, meiden. Für Android empfielt sich ebenfalls der Einsatz von Firefox. Sicher können sich Blackberry-User fühlen: Der in Blackberry 10.2.2 integrierte Web-Browser ist immun gegen die SSL-Lücke.

Das Abschalten der SSL-3.0-Kompatbilität hat allerdings auch Nachteile. Einige Webserver bieten keine Unterstützung für das sicherere TLS-Protokoll. Die University of Michigan hat eine entsprechende Liste von Diensten veröffentlicht, die lediglich SSL-3.0-Unterstützung aber keinen TLS-Support bieten. Dazu zählt etwa die Citibank und Marketwatch.

SSL-3.0-Check:

• Browseranfälligkeit überprüfen: https://www.poodletest.com/
• Server überprüfen http://www.poodlebleed.com/