Apple stellt wegen Poodle-Fehler Support von SSL 3.0 ein

Aufgrund der als Poodle (PDF) bezeichneten Fehlfunktion in SSL 3.0 wird Apple das 15 Jahre alte Verschlüsselungsprotokoll nicht länger unterstützen. Wie es auf seiner Entwickler-Website ankündigt, wird es stattdessen am 29. Oktober auf Transport Layer Security (TLS) umsteigen, um seinen Push-Benachrichtigungsdienst abzusichern.

„Provider, die nur SSL 3.0 nutzen, müssen schnellstmöglich TLS unterstützen, um sicherzustellen, dass Apple Push Notification Service weiterhin wie erwartet funktioniert“, heißt es in einer Mitteilung. „Anbieter, die sowohl TLS als auch SSL 3.0 unterstützen, sind nicht betroffen und müssen keine Änderungen vornehmen.“

Um die Kompatibilität zu prüfen, hat Apple SSL 3.0 bereits im Provider Communication Interface der Entwicklungsumgebung deaktiviert. Programmierer können in dieser Umgebung ab sofort testen, um zu gewährleisten, dass Push-Benachrichtigungen an Anwendungen versendet werden.

Poodle steht für Padding Oracle on Downgraded Legacy Encryption. Die vor rund einer Woche von Google-Entwicklern entdeckte Schwachstelle in SSL 3.0 erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

Die Sicherheitslücke betrifft sowohl Webserver als auch Browser. Beide müssen neu konfiguriert werden, damit nicht länger das anfällige SSL 3.0 verwendet wird. Aktuell unterstützen fast sämtliche Server noch das alte SSL-3.0-Protokoll aus Kompatibilitätsgründen. Das könnten Angreifer ausnutzen und beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion verwendet.

Nutzer können sich vor der Schwachstelle schützen, indem sie SSL 3.0 im Browser deaktivieren. Google und Mozilla haben bereit angekündigt, dass die nächsten Versionen ihrer Browser das veraltete Protokoll nicht mehr unterstützen werden. Als Workaround für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Security-Add-on Disable SSL 3.0 zu installieren oder über die Eingabe in der Adressleiste „about:config“ den Wert für den Eintrag „security.tls.version.min“ auf „1“ zu setzen. Microsofts Browser Internet Explorer erlaubt ebenfalls die Deaktivierung von SSL 3.0. Hierzu schaltet man die Option „SSL 3.0 verwenden“ unter Internetoptionen – Erweitert einfach aus.

[mit Material von Steven Musil, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de