POODLE-Sicherheitslücke in SSL: Ende für Internet Explorer 6

Bereits am 15.10.2014 wurde von Sicherheitsforschern bei Google eine „POODLE“ getaufte Sicherheitslücke im SSL-Protokoll, welches unter anderem zum gesicherten Abruf von Webseiten oder E-Mails verwendet wird, entdeckt. Betroffen ist lediglich der bereits 18 Jahre alte Standard „SSLv3“.

Informationen über die Lücke finden sich auf den folgenden Webseiten:

Um die Lücke tatsächlich zu schließen, entfernen alle Browser-Herstellung nun die Unterstützung für SSLv3 aus ihren Produkten. Solange Browser noch Unterstützung für SSLv3 mitbringen, könnten Angreifer die Verwendung erzwingen und dann mittels der POODLE-Sicherheitslücke die Kommunikation mitschneiden oder gar ändern.

Für Sie als Endbenutzer hat die Entfernung wenig Auswirkungen: alle Server verwenden das neuere TLS-Protokoll (in unterschiedlichen Ausführungen), so dass die Abschaltung von SSLv3 auf den Servern von keinem Client bemerkt wird.

Kein Client? Nein, einen wird es treffen: der Internet Explorer 6 unter Windows XP unterstützt den neueren TLSv1-Standard nicht. Benutzer dieses Browsers, der von Microsoft bereits seit Mai 2014 nicht mehr supported wird, werden zukünftig Probleme haben, SSL-geschützte Webseiten aufzurufen.

Aus dem gleichen Grund gibt es diesen Blogpost: wie von Google, Mozilla und anderen empfohlen, haben wir die Unterstützung für SSLv3 auf unseren Servern komplett deaktiviert. Anwender mit Internet Explorer 6 werden daher SSL-geschützte Webseiten in unserer Infrastruktur nicht oder nur mehr sehr schwer nutzen können.

 

Post navigation


Kommentare

  • Nobody

    Sie schreiben Bloedsinn!
    Der IE6 unter Windows XP kann selbstverstaendlich TLS 1.0 verwenden!

    • ADITSYSTEMS

      Welcher Blödsinn? Ja, IE6 kann TLSv1, muss aber manuell(!) aktiviert werden. Das schafft aber keiner der User, die noch auf IE6 zurückgreifen.

      => Per Default unterstützt IE6 kein TLSv1, sondern verwendet ausschließlich SSLv3.

      Ergänzung: MS hat die Unterstützung für Windows XP bereits im April 2014 eingestellt. Wer also immer noch IE6 unter Windows XP einsetzt, ist definitiv selbst Schuld.

Comments are closed.