Version 39 von Google Chrome wird SSL 3.0 standardmäßig nicht einmal mehr als Notlösung akzeptieren. Das hat Entwickler Adam Langley mitgeteilt. Der Browser, der in etwa sechs Wochen fertig sein dürfte, deaktiviert ab Werk das SSL-3.0-Fallback, akzeptiert dieses Verschlüsselungsverfahren für die HTTPS-Übertragung also nicht mehr.
Google reagiert damit auf eine von ihm entdeckte und diesen Monat veröffentlichte Lücke in SSL 3.0, die es als Padding Oracle On Downgraded Legacy Encryption oder kurz Poodle bezeichnet. Sie ermöglicht Entführen von Verbindungen und Diebstahl von Cookies über eine Man-in-the-Middle-Attacke. Googles Empfehlung lautete, SSL im Browser zu deaktivieren, was es jetzt letztlich selbst für seine Nutzer übernimmt.
SSL 3.0 ist durch Transport Layer Security (TLS) eigentlich längst überflüssig, wird aber von den meisten Servern und Clients noch als in manchen Fällen kleinster gemeinsamer Nenner unterstützt, wenn eine sichere HTTP-Verbindung per Handshake vereinbart wird. Das könnten Angreifer ausnutzen und beispielsweise den Aufbau einer sicheren TLS-Verbindung stören, sodass auf die ältere Protokollversion zurückgegriffen wird.
„SSL-3.0-Fallback wird nur zur Unterstützung fehlerhafter HTTPS-Server benötigt“, heißt es in Langleys Beitrag auf der Mailingliste für Chromium. „Server, die nur SSL 3.0 unterstützen, aber das fehlerlos, werden (vorläufig) weiter funktionieren, einige fehlerhafte Server hingegen wahrscheinlich nicht mehr. In diesem Fall sollte der Server repariert werden – TLS 1.0 ist inzwischen fast 15 Jahre alt.“
Im Fall einer aufgrund dieser Änderung fehlgeschlagenen Verbindung zeigt Chrome 39 laut Langley nur eine Standard-Fehlermeldung an – nämlich die, dass die Mindestanforderungen für Verschlüsselung nicht erfüllt wurden. Man habe sich nicht die Zeit genommen, eine spezielle Fehlernachricht in alle unterstützten Sprachen zu übersetzen. Der Anwender werde außerdem durch ein gelbes Warnzeichen in der Leiste informiert.
Auf Wunsch lässt sich die Deaktivierung in Chrome 39 aber noch per Flagge ändern. Einen Schritt weiter wird Google zufolge Chrome 40 gehen, der SSL 3.0 grundsätzlich nicht mehr unterstützt. Er soll außerdem eine Konfiguration der Minimalanforderungen bezüglich SSL/TLS auf der Seite about:flags ermöglichen.
Praxis: Browser gegen Lücke in SSL 3.0 absichern
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Mozilla hat angekündigt, Unterstützung für SSL 3.0 mit Firefox 34 auslaufen zu lassen. Seine Veröffentlichung ist für 25. November geplant. Auch Apple hat aufgrund der Poodle-Lücke den Support für SSL 3.0 eingestellt. Und von Microsoft gibt es einen Fix, um SSL 3.0 im Internet Explorer zu deaktivieren.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
1 Kommentar zu Nächste Chrome-Version deaktiviert SSL-3.0-Fallback standardmäßig
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Chronologie der Ereignisse:
SSL 3.0 Bug wird bekannt
Tag +1 Mozilla und Microsoft empfehlen Option temporär abzuschalten, Goggle?
Tag +3 Apple schließt Lücke dauerhaft auf OS X
Tag +6 Apple schließt Lücke dauerhaft in iOS
Tag +20 (?) Microsoft schließt Lücke dauerhaft in Windows
Tag 23 Google kündigt an SSL 3.0 Bug in Chrome von heute an in sechs Wochen (!) dauerhaft zu schließen – 23+42=65 Tage – d.h. Google braucht nur schlappe zwei Monate, um diese kritische dauerhaft Lücke zu schließen.
Well done, Google. Übertriebene Hektik scheint angesichts des kritischen Bugs nicht ausgebrochen zu sein – who cares? ;-)