Abo
  • Services:

Verschlüsselung: SSL Version 3 soll endgültig verschwinden

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

Artikel veröffentlicht am , Hanno Böck
Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt.
Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt. (Bild: Living in Monrovia/Wikimedia Commons/CC by-sa 2.0)

SSL Version 3 soll endgültig aus dem Internet verschwinden. Das sieht ein jetzt von der Internet Engineering Task Force (IETF) verabschiedetes Dokument vor. RFC 7568 schreibt dazu eindeutig, dass das alte Protokoll weder von Clients beim Verbindungsaufbau angeboten noch von Servern akzeptiert werden sollte. Geschrieben wurde die Empfehlung von Mitarbeitern von Mozilla, Google und dem französischen Forschungsinstitut Inria.

Poodle-Lücke besiegelt Ende

Stellenmarkt
  1. Jenoptik AG, Jena, Villingen-Schwenningen
  2. Bosch Gruppe, Reutlingen

Im vergangenen Jahr hatten Google-Sicherheitsforscher die sogenannte Poodle-Lücke im alten SSL-Protokoll gefunden. Während es bei anderen Lücken wie Beast oder Lucky Thirteen in der Vergangenheit gelang, durch entsprechende Workarounds eine Ausnutzung dieser Sicherheitslücken zu vermeiden, gab es bei Poodle keine einfache derartige Möglichkeit. Deshalb war klar, dass das Protokoll aus dem Netz verschwinden sollte, viele Webseiten und Programme haben das alte Protokoll bereits abgeschaltet.

Das SSL-Protokoll wurde in den 90er Jahren von Netscape entwickelt. Der Nachfolger von SSL ist das TLS-Protokoll. Die Namensgebung und die Versionen sind verwirrend. Eine Version 1 von SSL gab es nur intern bei Netscape, veröffentlicht wurde es 1995 als Version 2. Diese Version gilt schon lange als unsicher, kurz danach wurde 1996 der Nachfolger Version 3 veröffentlicht. Später wurde das Protokoll in TLS umbenannt und von der IETF weiterentwickelt. Dabei fing die Versionierung wieder von vorne an. TLS gibt es in den Versionen 1.0, 1.1 und 1.2. Zu empfehlen ist aus heutiger Sicht nur noch die Version 1.2.

Neben der Poodle-Lücke listet RFC 7568 eine Reihe von weiteren Gründen, die für die Abschaffung von SSL 3 sprechen. Das Protokoll kennt noch keine Erweiterungen, diverse moderne Funktionen stehen daher nicht zur Verfügung.

Probleme mit alten Geräten

Obwohl das Protokoll inzwischen 19 Jahre alt und der Nachfolger TLS 1.0 ebenfalls bereits seit 16 Jahren verfügbar ist, führte die Abschaffung zu einigen Problemen. So hatten Microsoft und Nokia noch 2011 ein High-End-Smartphone herausgebracht, dessen Mailprogramm ausschließlich SSL 3 unterstützt. Da das entsprechende Betriebssystem Windows Phone 7 nicht mehr unterstützt wird, gibt es von Microsoft kein Update. Auch AVM hat noch vor wenigen Jahren auf der Fritzbox den Mailsupport ausschließlich über SSL 3 betrieben, entsprechende Router können heute die POP3-Funktionen mit den meisten Mailanbietern nicht mehr nutzen, Updates gab es keine. Zum Zeitpunkt, als diese Geräte veröffentlicht wurden, war SSL 3 bereits völlig veraltet.

Dieses Problem dürfte auch in Zukunft auftauchen. Vieles spricht dafür, dass auch das TLS-1.0-Protokoll irgendwann abgeschafft werden sollte. Zwar gibt es TLS 1.1 schon seit 2006 und TLS 1.2 seit 2008, doch nach wie vor sind viele Geräte im Einsatz, die nur das inzwischen ebenfalls veraltete TLS 1.0 unterstützen.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

rostwolke 28. Jun 2015

Die einzelnen Seiten ziehen schon nach, falls beispielsweise Chrome oder Firefox beim...

Nibbels 28. Jun 2015

Naja, das ist völlig klar wie das läuft. Wenn man etwas nicht tun muss, macht man es...

RipClaw 26. Jun 2015

In den Standardeinstellung von aktueller Software ist SSLv3 in der Regel noch aktiviert...

martinr 26. Jun 2015

Es ist traurig dass sich die IETF herablässt ein Dokument mit derart viel irreführenden...


Folgen Sie uns
       


Asus Zenbook Pro 14 - Test

Das Touchpad des Asus Zenbook Pro 14 ist ein kleiner Bildschirm. Hört sich nutzlos an, hat uns aber dennoch im Test überzeugt.

Asus Zenbook Pro 14 - Test Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
    Enterprise Resource Planning
    Drei Gründe für das Scheitern von SAP-Projekten

    Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
    Von Markus Kammermeier


        •  /