Infos zur SSL v3.0 Schwachstelle „POODLE“

16. Oktober 2014 von Kevin Häfeli Veröffentlicht unter Hosting/Zusatzdienste Verschlagwortet mit , , ,

Kürzlich wurde durch Google eine erhebliche Schwachstelle (CVE-2014-3566) in der mittlerweile bald 18 Jahre alten SSL Version 3.0 entdeckt und auf den sympatischen Namen Poodle (Padding Oracle On Downgraded Legacy Encryption) getauft:

ssl_poodle

SSLv3 deaktiviert

Diese Schwachstelle ermöglich Angreifern sogenannte MITM (Man-in-the-Middle) Attacken. Womit geheime Daten, welche per SSL verschlüsselt werden, mitgelesen werden können.

SSLv3 war auf unseren Servern aus Kompatibilitätsgründen noch aktiviert, damit Windows XP Benutzer mit Internet Explorer 6 ebenfalls von verschlüsselten Verbindungen profitieren können. Da der Anteil dieser Besucher in unserem Netzwerk verschwindend klein und der Support von Windows XP durch Microsoft bereits seit einiger Zeit abgelaufen ist, haben wir uns entschieden SSLv3 auf all unseren Hostings zu deaktivieren. (XP Nutzer mit IE8 werden weiterhin unterstützt)

Sollten sie Probleme mit dem Zugriff per SSL Verbindung auf eine durch uns betriebene Webseite haben, melden sie sich bitte bei unserem Support.

Technische Details

Um SSLv3 zu deaktivieren, wurden alle SSL Cipher Suites auf die aktuelle „Intermediate compatibility“ aktualisiert. Diese verspricht die bestmögliche Anzahl an Clients und Betriebsysteme zu unterstützen:

Zusätzlich musste für alle Debian Squeeze basierenden Hostings, SSL explizip im Apache vhost deaktiviert werden:

Somit ist sichergestellt, dass alle https:// Verbindungen ein möglichst aktuelles SSL bzw. neu TLS Protokoll verwenden:

Wir empfehlen die aktuelle Version des Transport Layer Security (TLS) Protokolls 1.2 zu verwenden. Diese wird bei älteren (Debian Squeeze) Hostings auf Grund der OpenSSL Version (0.9.8o) leider nicht unterstützt. Möchten sie ihre Webseite TLS 1.2 kompatibel machen? Dann unterstützt sie unser Hosting Team gerne.

Sind sie gefährdet?

Um zu überprüfen, ob ihre Webseite gegen die SSLv3 Sicherheitslücke geschützt ist und welche Clients und Betriebssysteme auf ihrer Webseite für TLS Verbindungen unterstützt werden, besuchen sie den SSL Test von Qualys.

Bei diesem Test sollte ihre Webseite mind. die Note B erreichen – ein Grade A wird durch uns empfohlen.

Weitere Dienste betroffen

Wichtig: diese Sicherheitslücke betrifft nicht nur den Datenverkehr auf ihrer Webseite, sondern auch weitere Dienste wie z.B. FTP

Auf unseren FTP Server wurden die nötigen Schritte bereits eingeleitet und es werden nur noch TLS Verbindungen unterstützt.

Jetzt profitieren!

Sie verwenden noch kein SSL Zertifikat und die Datenübertragung auf ihrer Webseite erfolgt unverschlüsselt? Dann profitieren sie jetzt unseren attraktiven Angeboten und wir schenken ihnen bis zum 31.Oktober 2014 die Aufschaltgebühr von CHF 185.- / CHF 250.-.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.