Version 39 von Google Chrome wird SSL 3.0 standardmäßig nicht einmal mehr als Notlösung akzeptieren. Das hat Entwickler Adam Langley mitgeteilt. Der Browser, der in etwa sechs Wochen fertig sein dürfte, deaktiviert ab Werk das SSL-3.0-Fallback, akzeptiert dieses Verschlüsselungsverfahren für die HTTPS-Übertragung also nicht mehr.
Google reagiert damit auf eine von ihm entdeckte und diesen Monat veröffentlichte Lücke in SSL 3.0, die es als Padding Oracle On Downgraded Legacy Encryption oder kurz Poodle bezeichnet. Sie ermöglicht Entführen von Verbindungen und Diebstahl von Cookies über eine Man-in-the-Middle-Attacke. Googles Empfehlung lautete, SSL im Browser zu deaktivieren, was es jetzt letztlich selbst für seine Nutzer übernimmt.
SSL 3.0 ist durch Transport Layer Security (TLS) eigentlich längst überflüssig, wird aber von den meisten Servern und Clients noch als in manchen Fällen kleinster gemeinsamer Nenner unterstützt, wenn eine sichere HTTP-Verbindung per Handshake vereinbart wird. Das könnten Angreifer ausnutzen und beispielsweise den Aufbau einer sicheren TLS-Verbindung stören, sodass auf die ältere Protokollversion zurückgegriffen wird.
„SSL-3.0-Fallback wird nur zur Unterstützung fehlerhafter HTTPS-Server benötigt“, heißt es in Langleys Beitrag auf der Mailingliste für Chromium. „Server, die nur SSL 3.0 unterstützen, aber das fehlerlos, werden (vorläufig) weiter funktionieren, einige fehlerhafte Server hingegen wahrscheinlich nicht mehr. In diesem Fall sollte der Server repariert werden – TLS 1.0 ist inzwischen fast 15 Jahre alt.“
Im Fall einer aufgrund dieser Änderung fehlgeschlagenen Verbindung zeigt Chrome 39 laut Langley nur eine Standard-Fehlermeldung an – nämlich die, dass die Mindestanforderungen für Verschlüsselung nicht erfüllt wurden. Man habe sich nicht die Zeit genommen, eine spezielle Fehlernachricht in alle unterstützten Sprachen zu übersetzen. Der Anwender werde außerdem durch ein gelbes Warnzeichen in der Leiste informiert.
Auf Wunsch lässt sich die Deaktivierung in Chrome 39 aber noch per Flagge ändern. Einen Schritt weiter wird Google zufolge Chrome 40 gehen, der SSL 3.0 grundsätzlich nicht mehr unterstützt. Er soll außerdem eine Konfiguration der Minimalanforderungen bezüglich SSL/TLS auf der Seite about:flags ermöglichen.
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Mozilla hat angekündigt, Unterstützung für SSL 3.0 mit Firefox 34 auslaufen zu lassen. Seine Veröffentlichung ist für 25. November geplant. Auch Apple hat aufgrund der Poodle-Lücke den Support für SSL 3.0 eingestellt. Und von Microsoft gibt es einen Fix, um SSL 3.0 im Internet Explorer zu deaktivieren.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
