Nächste Chrome-Version deaktiviert SSL-3.0-Fallback standardmäßig

Das veraltete und fehlerhafte Protokoll wird in Chrome 39 auch nicht als Notlösung für HTTPS akzeptiert. Mit Chrome 40 soll sich diese Einstellung dann nicht mehr rückgängig machen lassen. Er führt außerdem eine Konfigurationsmöglichkeit via "about:flags" ein.

Version 39 von Google Chrome wird SSL 3.0 standardmäßig nicht einmal mehr als Notlösung akzeptieren. Das hat Entwickler Adam Langley mitgeteilt. Der Browser, der in etwa sechs Wochen fertig sein dürfte, deaktiviert ab Werk das SSL-3.0-Fallback, akzeptiert dieses Verschlüsselungsverfahren für die HTTPS-Übertragung also nicht mehr.

Google Chrome

Google reagiert damit auf eine von ihm entdeckte und diesen Monat veröffentlichte Lücke in SSL 3.0, die es als Padding Oracle On Downgraded Legacy Encryption oder kurz Poodle bezeichnet. Sie ermöglicht Entführen von Verbindungen und Diebstahl von Cookies über eine Man-in-the-Middle-Attacke. Googles Empfehlung lautete, SSL im Browser zu deaktivieren, was es jetzt letztlich selbst für seine Nutzer übernimmt.

SSL 3.0 ist durch Transport Layer Security (TLS) eigentlich längst überflüssig, wird aber von den meisten Servern und Clients noch als in manchen Fällen kleinster gemeinsamer Nenner unterstützt, wenn eine sichere HTTP-Verbindung per Handshake vereinbart wird. Das könnten Angreifer ausnutzen und beispielsweise den Aufbau einer sicheren TLS-Verbindung stören, sodass auf die ältere Protokollversion zurückgegriffen wird.

„SSL-3.0-Fallback wird nur zur Unterstützung fehlerhafter HTTPS-Server benötigt“, heißt es in Langleys Beitrag auf der Mailingliste für Chromium. „Server, die nur SSL 3.0 unterstützen, aber das fehlerlos, werden (vorläufig) weiter funktionieren, einige fehlerhafte Server hingegen wahrscheinlich nicht mehr. In diesem Fall sollte der Server repariert werden – TLS 1.0 ist inzwischen fast 15 Jahre alt.“

Sicherheit (Bild: Shutterstock)

Im Fall einer aufgrund dieser Änderung fehlgeschlagenen Verbindung zeigt Chrome 39 laut Langley nur eine Standard-Fehlermeldung an – nämlich die, dass die Mindestanforderungen für Verschlüsselung nicht erfüllt wurden. Man habe sich nicht die Zeit genommen, eine spezielle Fehlernachricht in alle unterstützten Sprachen zu übersetzen. Der Anwender werde außerdem durch ein gelbes Warnzeichen in der Leiste informiert.

Auf Wunsch lässt sich die Deaktivierung in Chrome 39 aber noch per Flagge ändern. Einen Schritt weiter wird Google zufolge Chrome 40 gehen, der SSL 3.0 grundsätzlich nicht mehr unterstützt. Er soll außerdem eine Konfiguration der Minimalanforderungen bezüglich SSL/TLS auf der Seite about:flags ermöglichen.

HIGHLIGHT

Praxis: Browser gegen Lücke in SSL 3.0 absichern

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

Mozilla hat angekündigt, Unterstützung für SSL 3.0 mit Firefox 34 auslaufen zu lassen. Seine Veröffentlichung ist für 25. November geplant. Auch Apple hat aufgrund der Poodle-Lücke den Support für SSL 3.0 eingestellt. Und von Microsoft gibt es einen Fix, um SSL 3.0 im Internet Explorer zu deaktivieren.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Chrome, Google, Secure-IT, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Nächste Chrome-Version deaktiviert SSL-3.0-Fallback standardmäßig

Kommentar hinzufügen
  • Am 2. November 2014 um 10:18 von Tja

    Chronologie der Ereignisse:

    SSL 3.0 Bug wird bekannt
    Tag +1 Mozilla und Microsoft empfehlen Option temporär abzuschalten, Goggle?
    Tag +3 Apple schließt Lücke dauerhaft auf OS X
    Tag +6 Apple schließt Lücke dauerhaft in iOS
    Tag +20 (?) Microsoft schließt Lücke dauerhaft in Windows
    Tag 23 Google kündigt an SSL 3.0 Bug in Chrome von heute an in sechs Wochen (!) dauerhaft zu schließen – 23+42=65 Tage – d.h. Google braucht nur schlappe zwei Monate, um diese kritische dauerhaft Lücke zu schließen.

    Well done, Google. Übertriebene Hektik scheint angesichts des kritischen Bugs nicht ausgebrochen zu sein – who cares? ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *