Tipps & Tricks 17.10.2014, 06:00 Uhr

Die «Poodle»-SSL-Sicherheitslücke einfach stopfen

Eine unter dem Akronym POODLE bekannte Sicherheitslücke lauert derzeit noch in den meisten Webbrowsern. Wir zeigen, wie Sie sie in Chrome, Firefox, IE und Opera stopfen. Und was Sie tun können, wenn Sie die alte SSL-Version noch benötigen - oder wenn Sie Apple Safari nutzen.
Lösung: Unter dem Akronym POODLE («Padding Oracle On Downgraded Legacy Encryption») wurde eine Sicherheitslücke bekannt, die verschlüsselte Übertragungen in verschiedenen Webbrowsern betrifft. 
Die Lücke besteht im veralteten Verschlüsselungsprotokoll SSL 3.0, auf das nur noch wenige Dienste angewiesen sind. Viele unterstützen jenes aber noch zusätzlich, um keine Nutzer auszuschliessen, die noch mit einem uralten Browser wie dem IE6 unterwegs sind. Der PCtipp hat darüber berichtet.
Benutzen Sie auf jeden Fall stets die aktuelle Version Ihres Webbrowsers. In kommenden Versionen soll SSL 3.0 herstellerseitig standardmässig deaktiviert werden. Bis es soweit ist, schalten Sie es selber aus, sofern möglich. Ob Ihr Browser noch anfällig ist, finden Sie durch einen einfachen Besuch dieser Poodle-Testseite heraus: https://www.poodletest.com/
Dieser Opera-Browser ist noch verwundbar
Wie das Stopfen der Lücke in den verschiedenen Browsern geht, erfahren Sie gleich nachfolgend. Aber warten Sie noch mit dem Umrüsten Ihres gesamten Browser-Zoos bis zum Zusatztipp «SSL-Zwang?» im letzten Absatz.

Tipps zum Stopfen der Sicherheitslücke

Google Chrome und Opera: In diesen beiden müssen Sie zu einem Trick greifen. Erstellen Sie z.B. im Startmenü, in der Taskleiste oder auf dem Desktop eine neue Chrome- oder Opera-Verknüpfung oder bearbeiten Sie jene Verknüpfung, die Sie normalerweise zum Starten von Chrome benutzen. Klicken Sie mit der rechten Maustaste aufs Chrome/Opera-Icon und wählen Sie Eigenschaften. Klicken Sie ins Feld «Ziel» und bringen Sie Ihren Cursor an das Ende der Zeile, z.B. mittels «End»-Taste. Tippen Sie ein Leerzeichen ein, gefolgt von exakt dieser Zeichenfolge:
--ssl-version-min=tls1 
Chrome und Opera: Schalter gegen Poodle in der Verknüpfung unterbringen
Das ist ein Startschalter, den Chrome und Opera dazu anweist, bei der Verschlüsselung mindestens TLS 1.0 zu verwenden. Speichern Sie die Änderung mit «Übernehmen». Nur wenn Sie den Browser über diese Verknüpfung starten, ist der Pudel an der Leine. Falls Sie eine andere (noch nicht angepasste) Verknüpfung verwenden, dann ist er verwundbar.
Mozilla Firefox: Hier lässt sich das leicht mit Bordmitteln umstellen. Tippen Sie die Zeichenfolge about:config (ohne Leerzeichen) in die Adresszeile ein und drücken Sie Enter. Bestätigen Sie Mozillas Aufforderung, vorsichtig zu sein. Tippen Sie im Feld «Suchen» die Zeichenfolge tls ein. Die Einträge werden gefiltert, bis nur noch eine Handvoll Einträge stehenbleibt. Doppelklicken Sie auf den Eintrag mit der Bezeichnung «security.tls.version.min», ändern Sie den Wert auf «1» und klicken Sie auf OK. Schon können Sie den Tab mit der Config wieder schliessen.
Falls Sie das in Firefox nicht manuell ändern wollen, können Sie auch die offizielle Erweiterung von Mozilla benutzen. Die stellt die Version ebenfalls um.
Microsoft Internet Explorer: Klicken Sie im Internet Explorer oben rechts aufs Zahnrad-Icon und öffnen die Internetoptionen. Wechseln Sie zum Reiter Erweitert und scrollen Sie im Fenster ein ganzes Stück weit bis zum Bereich «Sicherheit» herunter. Entfernen Sie die Häkchen bei SSL 3.0 (und 2.0 falls vorhanden), setzen Sie dafür welche bei TLS 1.0, 1.1 und 1.2, falls noch nicht aktiviert. Klicken Sie auf OK.
SSL aus- und TLS einschalten
Opera: siehe Google Chrome
Apple Safari: Pech gehabt! In Safari sei es nicht vorgesehen, solche Verschlüsselungseinstellungen zu ändern, bekommen besorgte Nutzer zu hören
Warten Sie auf ein Safari-Update. Bis dahin benutzen Sie Safari am besten nur für unverschlüsselte Seiten oder für jene, die explizit SSL 3.0 verlangen. Für wichtige verschlüsselte Seiten greifen Sie zu einem anderen Browser, zum Beispiel Firefox, in dem sich das per Einstellung oder Add-On ändern lässt. 
Android-Tablets und -Smartphones: Installieren und benutzen Sie die Firefox-App für verschlüsselte Seiten und passen Sie in jener die Einstellungen an.
iOS (iPhone und iPad): Bis Apple dem Webbrowser auf iPhones und iPads ein Update spendiert, sollte man auf diesen Geräten auf den Besuch verschlüsselter Webseiten verzichten, sofern man auf diesen heikle Daten bearbeitet.
SSL-3.0-Zwang? Es kann passieren, dass Sie auf vereinzelte https-Seiten treffen, die für die Verschlüsselung explizit SSL 3.0 verlangen. Die haben noch nicht auf neuere Protokolle umgestellt, werden dies aber sowieso in sehr naher Zukunft tun müssen. Stellen Sie für diese Webseiten vorübergehend einen separaten Browser ab, in dem Sie die empfohlenen Einstellungen nicht vornehmen. Wenn Sie also z.B. normalerweise per Firefox surfen, sichern Sie diesen ab und benutzen ihn normal weiter. Verwenden Sie für die noch nicht nachgerüsteten Webseiten aber einen anderen Webbrowser, z.B. Internet Explorer oder Safari, den Sie noch nicht umstellen.


Kommentare

Es sind keine Kommentare vorhanden.