Version 39 von Google Chrome wird SSL 3.0 standardmäßig nicht einmal mehr als Notlösung akzeptieren. Das hat Entwickler Adam Langley mitgeteilt. Der Browser, der in etwa sechs Wochen fertig sein dürfte, deaktiviert ab Werk das SSL-3.0-Fallback, akzeptiert dieses Verschlüsselungsverfahren für die HTTPS-Übertragung also nicht mehr.
Google reagiert damit auf eine von ihm entdeckte und diesen Monat veröffentlichte Lücke in SSL 3.0, die es als Padding Oracle On Downgraded Legacy Encryption oder kurz Poodle bezeichnet. Sie ermöglicht Entführen von Verbindungen und Diebstahl von Cookies über eine Man-in-the-Middle-Attacke. Googles Empfehlung lautete, SSL im Browser zu deaktivieren, was es jetzt letztlich selbst für seine Nutzer übernimmt.
SSL 3.0 ist durch Transport Layer Security (TLS) eigentlich längst überflüssig, wird aber von den meisten Servern und Clients noch als in manchen Fällen kleinster gemeinsamer Nenner unterstützt, wenn eine sichere HTTP-Verbindung per Handshake vereinbart wird. Das könnten Angreifer ausnutzen und beispielsweise den Aufbau einer sicheren TLS-Verbindung stören, sodass auf die ältere Protokollversion zurückgegriffen wird.
„SSL-3.0-Fallback wird nur zur Unterstützung fehlerhafter HTTPS-Server benötigt“, heißt es in Langleys Beitrag auf der Mailingliste für Chromium. „Server, die nur SSL 3.0 unterstützen, aber das fehlerlos, werden (vorläufig) weiter funktionieren, einige fehlerhafte Server hingegen wahrscheinlich nicht mehr. In diesem Fall sollte der Server repariert werden – TLS 1.0 ist inzwischen fast 15 Jahre alt.“
Im Fall einer aufgrund dieser Änderung fehlgeschlagenen Verbindung zeigt Chrome 39 laut Langley nur eine Standard-Fehlermeldung an – nämlich die, dass die Mindestanforderungen für Verschlüsselung nicht erfüllt wurden. Man habe sich nicht die Zeit genommen, eine spezielle Fehlernachricht in alle unterstützten Sprachen zu übersetzen. Der Anwender werde außerdem durch ein gelbes Warnzeichen in der Leiste informiert.
Auf Wunsch lässt sich die Deaktivierung in Chrome 39 aber noch per Flagge ändern. Einen Schritt weiter wird Google zufolge Chrome 40 gehen, der SSL 3.0 grundsätzlich nicht mehr unterstützt. Er soll außerdem eine Konfiguration der Minimalanforderungen bezüglich SSL/TLS auf der Seite about:flags ermöglichen.
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Mozilla hat angekündigt, Unterstützung für SSL 3.0 mit Firefox 34 auslaufen zu lassen. Seine Veröffentlichung ist für 25. November geplant. Auch Apple hat aufgrund der Poodle-Lücke den Support für SSL 3.0 eingestellt. Und von Microsoft gibt es einen Fix, um SSL 3.0 im Internet Explorer zu deaktivieren.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…
