Sicherheit: SSLv3 deaktivieren

Mittlerweile gilt auch SSLv3, eines der SSL-Protokolle, nicht mehr als sicher: Durch den „Poodle“ Exploit (Padding Oracle On Downgraded Legacy Encryption) sind SSLv3-Verbindungen angreifbar.

Es wird daher empfohlen, im Browser die SSL3-Unterstützung zu deaktivieren.
Ggf. ist auch andere Client-Software, z.B. der E-Mail-Client, betroffen – auch dort sollte man möglichst die alten SSL Protokolle deaktivieren.

Firefox: SSLv3 deaktivieren

Firefox wird SSLv3 mit der Version 34 (voraussichtlich ab 25.11.2014) standardmäßig deaktivieren.

Bis dahin kann man SSLv3 im Firefox wie folgt abschalten:

Im Firefox die Konfigurationsseite „about:config“ aufrufen („about:config“ in die Adresszeile schreiben, Eingabetaste/ diese Seite aufrufen; das Öffnen der Konfiguration mit dem „Ich bin mir der Gefahren bewusst!“-Schalter bestätigen.).
Dort dann nach „security.tls.version.min“ suchen und ebendiesen Eintrag auf „1“ setzen:

firefox_ssl3_abschalten


Internet Explorer: SSLv3 deaktivieren

Extras – Internetoptionen – Registerkarte „Erweitert“:

ie_ssl3_abschalten

Falls Sie noch den IE6 auf Windows XP nutzen: Bitte aktualisieren Sie Ihr Betriebssystem. Kurzfristig sollten Sie wenigstens als Browser den Firefox statt dem IE verwenden.


Chrome: SSLv3 deaktivieren

Dazu muss der Chrome Browser mit folgendem Kommandozeilen-Parameter gestartet werden:

--ssl-version-min=tls1

 

Thunderbird E-Mail: SSLv3 deaktivieren

Die Thunderbird-Konfiguration öffnen:
Thunderbird-Menü (die drei Striche) öffnen, dann Einstellungen – Einstellungen – Rubrik „Erweitert“ – Registerkarte „Allgemein“ – Schalter „Konfiguration bearbeiten“.
Das Öffnen der Konfiguration mit dem „Ich werde vorsichtig sein, versprochen!“-Schalter bestätigen.

Dort dann nach „security.tls.version.min“ suchen und ebendiesen Eintrag auf „1“ setzen:

ssl3_abschalten_thunderbird




Weitere Informationen

Bundesamt für Sicherheit in der Informationstechnik: Poodle-Schwachstelle in SSL 3.0

Poodletest: Ist Ihr Browser angreifbar?

Heise: So wehren Sie Poodle-Angriffe ab

Heise: So funktioniert der Poodle-Exploit

Disabling ssl3 support in browsers (inkl. Beschreibung für Chrome auf Mac OSX)

  • 'Veröffentlicht von Thomas Krug   -   Letzte Aktualisierung: 28. September 2017