Abo
  • Services:

Verschlüsselung: SSL Version 3 soll endgültig verschwinden

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

Artikel veröffentlicht am , Hanno Böck
Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt.
Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt. (Bild: Living in Monrovia/Wikimedia Commons/CC by-sa 2.0)

SSL Version 3 soll endgültig aus dem Internet verschwinden. Das sieht ein jetzt von der Internet Engineering Task Force (IETF) verabschiedetes Dokument vor. RFC 7568 schreibt dazu eindeutig, dass das alte Protokoll weder von Clients beim Verbindungsaufbau angeboten noch von Servern akzeptiert werden sollte. Geschrieben wurde die Empfehlung von Mitarbeitern von Mozilla, Google und dem französischen Forschungsinstitut Inria.

Poodle-Lücke besiegelt Ende

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Im vergangenen Jahr hatten Google-Sicherheitsforscher die sogenannte Poodle-Lücke im alten SSL-Protokoll gefunden. Während es bei anderen Lücken wie Beast oder Lucky Thirteen in der Vergangenheit gelang, durch entsprechende Workarounds eine Ausnutzung dieser Sicherheitslücken zu vermeiden, gab es bei Poodle keine einfache derartige Möglichkeit. Deshalb war klar, dass das Protokoll aus dem Netz verschwinden sollte, viele Webseiten und Programme haben das alte Protokoll bereits abgeschaltet.

Das SSL-Protokoll wurde in den 90er Jahren von Netscape entwickelt. Der Nachfolger von SSL ist das TLS-Protokoll. Die Namensgebung und die Versionen sind verwirrend. Eine Version 1 von SSL gab es nur intern bei Netscape, veröffentlicht wurde es 1995 als Version 2. Diese Version gilt schon lange als unsicher, kurz danach wurde 1996 der Nachfolger Version 3 veröffentlicht. Später wurde das Protokoll in TLS umbenannt und von der IETF weiterentwickelt. Dabei fing die Versionierung wieder von vorne an. TLS gibt es in den Versionen 1.0, 1.1 und 1.2. Zu empfehlen ist aus heutiger Sicht nur noch die Version 1.2.

Neben der Poodle-Lücke listet RFC 7568 eine Reihe von weiteren Gründen, die für die Abschaffung von SSL 3 sprechen. Das Protokoll kennt noch keine Erweiterungen, diverse moderne Funktionen stehen daher nicht zur Verfügung.

Probleme mit alten Geräten

Obwohl das Protokoll inzwischen 19 Jahre alt und der Nachfolger TLS 1.0 ebenfalls bereits seit 16 Jahren verfügbar ist, führte die Abschaffung zu einigen Problemen. So hatten Microsoft und Nokia noch 2011 ein High-End-Smartphone herausgebracht, dessen Mailprogramm ausschließlich SSL 3 unterstützt. Da das entsprechende Betriebssystem Windows Phone 7 nicht mehr unterstützt wird, gibt es von Microsoft kein Update. Auch AVM hat noch vor wenigen Jahren auf der Fritzbox den Mailsupport ausschließlich über SSL 3 betrieben, entsprechende Router können heute die POP3-Funktionen mit den meisten Mailanbietern nicht mehr nutzen, Updates gab es keine. Zum Zeitpunkt, als diese Geräte veröffentlicht wurden, war SSL 3 bereits völlig veraltet.

Dieses Problem dürfte auch in Zukunft auftauchen. Vieles spricht dafür, dass auch das TLS-1.0-Protokoll irgendwann abgeschafft werden sollte. Zwar gibt es TLS 1.1 schon seit 2006 und TLS 1.2 seit 2008, doch nach wie vor sind viele Geräte im Einsatz, die nur das inzwischen ebenfalls veraltete TLS 1.0 unterstützen.



Anzeige
Top-Angebote
  1. (u. a. HP Pavilion Gaming 32 HDR für 369€ + Versand - Bestpreis!)
  2. 699€ + Versand (PCGH-Preisvergleich ab 755€)
  3. (u. a. Oculus Go 32GB/64 GB für 149,90€/199,90€ inkl. Versand - Bestpreis!)

rostwolke 28. Jun 2015

Die einzelnen Seiten ziehen schon nach, falls beispielsweise Chrome oder Firefox beim...

Nibbels 28. Jun 2015

Naja, das ist völlig klar wie das läuft. Wenn man etwas nicht tun muss, macht man es...

RipClaw 26. Jun 2015

In den Standardeinstellung von aktueller Software ist SSLv3 in der Regel noch aktiviert...

martinr 26. Jun 2015

Es ist traurig dass sich die IETF herablässt ein Dokument mit derart viel irreführenden...


Folgen Sie uns
       


Amazons Echo Sub im Test

Mit dem Echo Sub lassen sich Echo-Lautsprecher mit Tiefbass nachrüsten. Die Echo-Lautsprecher sind allerdings im Mittenbereich vergleichsweise schwach, so dass das Klangbild entsprechend leidet. Sobald zwei Echo-Lautsprecher miteinander verbunden sind, gibt es enorm viele Probleme: Die Echo-Geräte reagieren langsamer, es gibt Zeitverzögerungen der einzelnen Lautsprecher und das Spulen in Musik ist nicht mehr möglich. Wie dokumentieren die Probleme im Video.

Amazons Echo Sub im Test Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Mars Insight: Nasa hofft auf Langeweile auf dem Mars
Mars Insight
Nasa hofft auf Langeweile auf dem Mars

Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

  1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  2. Mars Die Nasa gibt den Rover nicht auf
  3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

    •  /