Anleitung für Firefox, Chrome und IE

Poddle: Gefährliche SSL-Lücke - so schützen Sie sich!

Sicherheitsexperten von Google haben eine neue Lücke in SSL 3.0 entdeckt. So können Sie sich schützen.

Googles Sicherheitsexperten haben in dem älteren aber weiterhin noch häufig genutzten SSL-Protokoll 3.0 eine schwerwiegende Sicherheitslücke entdeckt. Darauf weist Google in einem Eintrag in seinem Sicherheitsblog hin. "Dieser Pudel beißt", heißt es dort. Dem gefundenen Sicherheitsschwäche wurde nämlich der Name "Poodle" (deutsch: Pudel) gegeben, wobei sich der Name aus der Funktionsweise der Anfälligkeit ergibt:Padding Oracle On Downgraded Legacy Encryption. Die letzte große SSL-Lücke sorgte unter dem Namen "Heartbleed" für Schlagzeilen, weshalb jetzt von "Poddlebleed" die Rede ist.

Die neu entdeckte Lücke erlaubt es laut Google Angreifern, den Klartext aus einer eigentlich sicheren SSL-Verschlüsselung zu errechnen.

SSL 3.0 ist über 15 Jahre alt, wird aber weiterhin oft verwendet. Alle wichtigen Browser unterstützen SSL 3.0, um bei einem Fehler beim Zugriff auf einen HTTPS-Server über die Nutzung von SSL 3.0 sich doch noch Zugriff zu verschaffen. Genau dies könnten auch Angreifer für ihre Zwecke ausnutzen, befürchten die Sicherheitsexperten von Google. Die Angreifer eines Netzwerks könnten einen Verbindungsfehler auslösen, um dann über SSL 3.0 auf den Server zu gelangen und dann die Lücke auszunutzen.

Durch den Aufruf dieser Website können Sie schnell und einfach feststellen, ob Ihr Browser anfällig für die SSL-Lücke ist.

Firefox, Chrome und IE: So schützen Sie sich

Die Empfehlung lautet daher, die Unterstützung von SSL 3.0 im verwendeten Browser zu deaktivieren. Das ist allerdings je nach Browser mehr oder weniger umständlich möglich. Eine Anleitung für alle Browser und gängigen Systeme finden Sie auf dieser Seite.

Google Chrome: Um Chrome mit dem notwendigen Parameter zu starten, nutzen Sie am einfachsten eine Verknüpfung und geben den Startparameter an.
Google Chrome: Um Chrome mit dem notwendigen Parameter zu starten, nutzen Sie am einfachsten eine Verknüpfung und geben den Startparameter an.

Für Chrome muss beispielsweise eine Verknüpfung zum Aufruf von Chrome auf den Desktop abgelegt werden. Dieser muss dann unter Eigenschaften bei Ziel nach dem abschließenden Ausrufezeichen bei "chrome.exe" noch

--ssl-version-min=tls1

hinzugefügt werden. Außerdem muss der Anwender daran denken, künftig Chrome nur noch über die angelegte Verknüpfung aufzurufen. In naher Zukunft will Google die Unterstützung von SSL 3.0 aus allen seinen Client-Produkten entfernen.

Internet Explorer: Entfernen Sie in den Internetoptionen das Häkchen bei SSL 3.0 verwenden.
Internet Explorer: Entfernen Sie in den Internetoptionen das Häkchen bei SSL 3.0 verwenden.

Das kündigen auch die Entwickler von Mozilla für Firefox in einem Blog-Eintrag an. Ab Firefox 34 soll dies geschehen. Firefox 34 wird Ende November erscheinen. In allen Vorabversionen von Firefox 34 ist die Unterstützung für SSL 3.0 ab sofort abgeschaltet. Firefox-Nutzern die nicht bis Ende November warten möchten, bietet Mozilla mit SSL Version Control ein Firefox-Addon zum Download an, über das die Unterstützung für SSL 3.0 im Browser manuell abgeschaltet werden kann.

Auch Microsoft dürfte die Unterstützung von SSL 3.0 aus dem Internet Explorerbald entfernen. Bis dahin können Sie auch im IE die Unterstützung von SSL 3.0 manuell deaktivieren. Rufen Sie dazu die "Internetoptionen" des Browsers auf und wechseln Sie dann in den Reiter "Erweitert". Hier entfernen Sie dann das Häkchen bei "SSL 3.0 verwenden" unter Sicherheit. (PC Welt/mje)