schokokeks.org

Heute wurden Details zu einer von Google-Mitarbeitern entdeckten Sicherheitslücke im SSL-Protokoll bekanntgegeben. Die Lücke wird als POODLE bezeichnet, die Abkürzung steht für Padding Oracle On Downgraded Legacy Encryption.

Die Sicherheitslücke betrifft nur die sehr alte SSL-Version 3. Wir haben bereits im Januar 2013 auf unseren Servern die Unterstützung für SSLv3 deaktiviert. Damit sind Webseiten von unseren Kunden und auch unsere eigenen Services nicht von dem Problem betroffen.

Um zu gewährleisten dass SSLv3 auf unseren Servern auf keinen Fall mehr zum Einsatz kommt testen wir gerade die Möglichkeit, diese alte Protokollversion generell in OpenSSL zu deaktivieren. Wir werden diese Änderung in Kürze auf allen Servern installieren.

Unseren Kunden empfehlen wir, in ihren Webbrowsern falls möglich die Unterstützung für SSLv3 zu deaktivieren. In Chrome/Chromium geht dies mit der Kommandozeilenoption --ssl-version-min=tls1, in Firefox gibt es unter about:config die Option security.tls.version.min, die man auf 1 setzen sollte. Auch bei allen anderen Applikationen ist die Abschaltung des uralten SSLv3-Protokolls empfehlenswert. Kompatibilitätsprobleme sollte es damit nahezu keine geben.