Abo
  • Services:

Verschlüsselung: SSL Version 3 soll endgültig verschwinden

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

Artikel veröffentlicht am , Hanno Böck
Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt.
Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt. (Bild: Living in Monrovia/Wikimedia Commons/CC by-sa 2.0)

SSL Version 3 soll endgültig aus dem Internet verschwinden. Das sieht ein jetzt von der Internet Engineering Task Force (IETF) verabschiedetes Dokument vor. RFC 7568 schreibt dazu eindeutig, dass das alte Protokoll weder von Clients beim Verbindungsaufbau angeboten noch von Servern akzeptiert werden sollte. Geschrieben wurde die Empfehlung von Mitarbeitern von Mozilla, Google und dem französischen Forschungsinstitut Inria.

Poodle-Lücke besiegelt Ende

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart
  2. Techem Energy Services GmbH, Bielefeld, Eschborn

Im vergangenen Jahr hatten Google-Sicherheitsforscher die sogenannte Poodle-Lücke im alten SSL-Protokoll gefunden. Während es bei anderen Lücken wie Beast oder Lucky Thirteen in der Vergangenheit gelang, durch entsprechende Workarounds eine Ausnutzung dieser Sicherheitslücken zu vermeiden, gab es bei Poodle keine einfache derartige Möglichkeit. Deshalb war klar, dass das Protokoll aus dem Netz verschwinden sollte, viele Webseiten und Programme haben das alte Protokoll bereits abgeschaltet.

Das SSL-Protokoll wurde in den 90er Jahren von Netscape entwickelt. Der Nachfolger von SSL ist das TLS-Protokoll. Die Namensgebung und die Versionen sind verwirrend. Eine Version 1 von SSL gab es nur intern bei Netscape, veröffentlicht wurde es 1995 als Version 2. Diese Version gilt schon lange als unsicher, kurz danach wurde 1996 der Nachfolger Version 3 veröffentlicht. Später wurde das Protokoll in TLS umbenannt und von der IETF weiterentwickelt. Dabei fing die Versionierung wieder von vorne an. TLS gibt es in den Versionen 1.0, 1.1 und 1.2. Zu empfehlen ist aus heutiger Sicht nur noch die Version 1.2.

Neben der Poodle-Lücke listet RFC 7568 eine Reihe von weiteren Gründen, die für die Abschaffung von SSL 3 sprechen. Das Protokoll kennt noch keine Erweiterungen, diverse moderne Funktionen stehen daher nicht zur Verfügung.

Probleme mit alten Geräten

Obwohl das Protokoll inzwischen 19 Jahre alt und der Nachfolger TLS 1.0 ebenfalls bereits seit 16 Jahren verfügbar ist, führte die Abschaffung zu einigen Problemen. So hatten Microsoft und Nokia noch 2011 ein High-End-Smartphone herausgebracht, dessen Mailprogramm ausschließlich SSL 3 unterstützt. Da das entsprechende Betriebssystem Windows Phone 7 nicht mehr unterstützt wird, gibt es von Microsoft kein Update. Auch AVM hat noch vor wenigen Jahren auf der Fritzbox den Mailsupport ausschließlich über SSL 3 betrieben, entsprechende Router können heute die POP3-Funktionen mit den meisten Mailanbietern nicht mehr nutzen, Updates gab es keine. Zum Zeitpunkt, als diese Geräte veröffentlicht wurden, war SSL 3 bereits völlig veraltet.

Dieses Problem dürfte auch in Zukunft auftauchen. Vieles spricht dafür, dass auch das TLS-1.0-Protokoll irgendwann abgeschafft werden sollte. Zwar gibt es TLS 1.1 schon seit 2006 und TLS 1.2 seit 2008, doch nach wie vor sind viele Geräte im Einsatz, die nur das inzwischen ebenfalls veraltete TLS 1.0 unterstützen.



Anzeige
Top-Angebote
  1. (u. a. Toshiba N300 4 TB für 99€ statt 122,19€ im Vergleich, Samsung C24FG73 für 239€ statt...
  2. 49,97€ (Bestpreis!)
  3. mit Gutschein: SUPERDEALS (u. a. HP Windows Mixed Reality Headset VR1000-100nn für 295,20€ statt...
  4. mit den Gutscheinen: DELL10 (für XPS13/XPS15) und DELL100 (für G3/G5)

rostwolke 28. Jun 2015

Die einzelnen Seiten ziehen schon nach, falls beispielsweise Chrome oder Firefox beim...

Nibbels 28. Jun 2015

Naja, das ist völlig klar wie das läuft. Wenn man etwas nicht tun muss, macht man es...

RipClaw 26. Jun 2015

In den Standardeinstellung von aktueller Software ist SSLv3 in der Regel noch aktiviert...

martinr 26. Jun 2015

Es ist traurig dass sich die IETF herablässt ein Dokument mit derart viel irreführenden...


Folgen Sie uns
       


Amazons Fire HD 10 Kids Edition - Hands on

Das Fire HD 10 Kids Edition ist das neue Kinder-Tablet von Amazon. Das Tablet entspricht dem normalen Fire HD 10 und wird mit speziellen Dreingaben ergänzt. So gibt es eine Gummiummantelung, um Stürze abzufangen. Außerdem gehört der Dienst Freetime Unlimited für ein Jahr ohne Aufpreis dazu. Das Fire HD 10 Kids Edition kostet 200 Euro. Falls das Tablet innerhalb von zwei Jahren nach dem Kauf kaputtgeht, wird es ausgetauscht.

Amazons Fire HD 10 Kids Edition - Hands on Video aufrufen
Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. ID Buzz und Crozz Volkswagen will Elektroautos in den USA bauen
  2. PFO Pininfarina plant Elektrosupersportwagen mit 400 km/h
  3. Einride Holzlaster T-Log fährt im Wald elektrisch und autonom

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

    •  /