Das gerade von Google entdeckte und veröffentlichte Sicherheitsleck in der Verschlüsselungstechnik SSLv3 betrifft fast alle Browser und wurde “Poodle” getauft. Auch wenn SSLv3 kaum noch benutzt wird: Angreifer können das Leck ausnutzen, indem sie SSLv3 erzwingen. Als Benutzer bemerkt man das nicht. Die beste Vorgehensweise ist daher: SSL einfach im Browser deaktivieren – dann kann auch nichts schief gehen.

Wer die veraltete Technologie SSLv3 im Browser abschaltet, kann schlimmstenfalls erleben, dass eine Webseite sich nicht mehr nutzen lässt. Das müsste aber eine mehr als fragwürdige Webseite sein, denn sie müsste eine längst überholte Technologie erzwingen. Ältere Browser wie Internet Explorer 6 bieten keine andere Möglichkeit der Verschlüsselung an, hier ist also ein Update erforderlich – aber das sowieso schon lange.

Web-Server unterstützen heute in der Regel mindestens TLS 1.0 für die Verschlüsselung der übertragenen Daten. Sollte ein Server diese Option nicht anbieten, empfiehlt es sich sowieso, einen großen Bogen darum zu machen.

Besoders einfach ist das Abschalten von SSLv3 in Firefox. Dort öffnet in der Adressleiste “about:config” eingeben und nach “tls” suchen und dort die Option “security.tls.version.min” auf den Wert “1” setzen. Der für den 25. November erwartete Firefox 34 wird das ohnehin machen.

poodle

Wer Chrome benutzt, muss etwas tiefer in die Trickkiste greifen. Der Browser muss mit der Option --ssl-version-min=tls1 gestartet werden, damit TLS im Browser erzwungen wird. Der bequemste Weg ist, einen entsprechenden Link auf dem Desktop anzulegen, der die Option enthält.

Wer wissen will, ob sein Browser angreifbar ist: Hier kann man den Poodletest machen.