Bereits am 15.10.2014 wurde von Sicherheitsforschern bei Google eine „POODLE“ getaufte Sicherheitslücke im SSL-Protokoll, welches unter anderem zum gesicherten Abruf von Webseiten oder E-Mails verwendet wird, entdeckt. Betroffen ist lediglich der bereits 18 Jahre alte Standard „SSLv3“.
Informationen über die Lücke finden sich auf den folgenden Webseiten:
- http://www.heise.de/security/meldung/Poodle-Experten-warnen-vor-Angriff-auf-Internet-Verschluesselung-2424122.html
- http://www.golem.de/news/verschluesselung-poodle-gefaehrdet-verbindungen-mit-altem-ssl-1410-109849.html
- http://www.stern.de/digital/online/poodle-google-entdeckt-ssl-sicherheitsluecke-in-firefox-chrome-und-co-2145538.html
- http://googleonlinesecurity.blogspot.de/2014/10/this-poodle-bites-exploiting-ssl-30.html
- https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
- https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
Um die Lücke tatsächlich zu schließen, entfernen alle Browser-Herstellung nun die Unterstützung für SSLv3 aus ihren Produkten. Solange Browser noch Unterstützung für SSLv3 mitbringen, könnten Angreifer die Verwendung erzwingen und dann mittels der POODLE-Sicherheitslücke die Kommunikation mitschneiden oder gar ändern.
Für Sie als Endbenutzer hat die Entfernung wenig Auswirkungen: alle Server verwenden das neuere TLS-Protokoll (in unterschiedlichen Ausführungen), so dass die Abschaltung von SSLv3 auf den Servern von keinem Client bemerkt wird.
Kein Client? Nein, einen wird es treffen: der Internet Explorer 6 unter Windows XP unterstützt den neueren TLSv1-Standard nicht. Benutzer dieses Browsers, der von Microsoft bereits seit Mai 2014 nicht mehr supported wird, werden zukünftig Probleme haben, SSL-geschützte Webseiten aufzurufen.
Aus dem gleichen Grund gibt es diesen Blogpost: wie von Google, Mozilla und anderen empfohlen, haben wir die Unterstützung für SSLv3 auf unseren Servern komplett deaktiviert. Anwender mit Internet Explorer 6 werden daher SSL-geschützte Webseiten in unserer Infrastruktur nicht oder nur mehr sehr schwer nutzen können.
