Zum Schutz gegen Angriffe auf die Internet-Verschlüsselung muss eigentlich nur die ohnehin veraltete Protokollversion SSLv3 abgeschaltet werden. heise Security zeigt, wo und wie man das machen kann. Der soeben veröffentlichte Poodle-Angriff[1] erzwingt einen Rückfall einer verschlüsselten Verbindung auf das längst veraltete Protokoll SSLv3.
Aus Kompatibiltätsgründen unterstützen das nahezu alle Browser und auch die Server noch. Wirklich benötigt wird es jedoch eigentlich nicht mehr. Der beste Schutz ist also: einfach abschalten. Wenn der Poodle Test einen Terrier anzeigt, droht keine Gefahr mehr. Das schlimmste was passieren kann ist, dass in Einzelfällen keine verschlüsselten Verbindungen mehr zustande kommen. Das betrifft ganz sicher Internet Explorer 6, den aber ohnehin fast niemand mehr benutzt.
Und wer das Ungetüm aus Urzeiten doch nutzt, hat mit sehr viel anderen Problemen zu kämpfen. Web-Server sollten eigentlich alle mindestens TLS 1.0 unterstützen. Bietet ein Server das nicht an, sollte man auch keine vertraulichen Inhalte, die Verschlüsselung zwingend erfordern, mit ihm teilen. Browser Firefox kann man das gefährliche SSLv3 in "about:config" verbieten. Für Endanwender ist die Entscheidung einfach: Sie brauchen SSLv3 heutzutage praktisch nicht mehr. Das Internet Storm Center hat eine einfache Seite aufgesetzt, die testet, ob Ihr Browser anfällig für Poodle-Angriffe[2] ist. Relativ einfach geht das Abschalten von SSLv3 in
Firefox. Dort öffnet man in der Adressleiste about:config, sucht dann nach tls und stellt die Option security.tls.version.min auf 1. Die Gefahr, dass damit etwas kaputt geht, ist gering; Sie kommen damit dem Browser-Hersteller nur etwas zuvor. Mozilla hat bereits angekündigt, SSLv3 in Firefox 34[3], der am 25. November veröffentlicht werden soll, standardmäßig abzuschalten.
In Chrome ist es ein bisschen aufwändiger, da man den Browser mit der Kommandozeilen-Option --ssl-version-min=tls1 starten muss. Am einfachsten legt man sich einen entsprechenden Shortcut an.
Im Internet Explorer kann man in den Internetoptionen unter Erweitert SSL 3.0 verwenden abwählen – und bei der Gelegenheit auch gleich TLS 1.1 und 1.2 aktivieren. Ab Internet Explorer 7 kann man in den Internetoptionen SSLv3 abschalten. Server Server-Betreiber haben es etwas schwerer, da sie mit der Umstellung potenzielle Kunden aussperren. Doch die Gefahr ist gering: Da TLS 1.0 seit 15 Jahren Standard ist, unterstützen das alle auch nur halbwegs aktuellen Clients.
In der Heise-Statistik wird Internet Explorer 6, der das noch nicht konnte, schon seit langem gar nicht mehr aufgeführt, weil sein Auftreten bestenfalls noch im Promillebereich liegt. Ob ein Web-Server noch SSLv3 unterstützt, zeigt etwa der SSL-Test von Qualys[4]. Wie man SSLv3 abschaltet, ist von Server zu Server verschieden; in der Apache-Konfiguration etwa kann man etwa die Zeile SSLProtocol All -SSLv2 -SSLv3 angeben.