Deaktivierung von SSLv3 hilft bei Sicherheitslücke "Poodle"

+
Um die Sicherheitslücke "Poodle" zu schließen, sollten Nutzer in ihrem Browser SSLv3 abschalten. Foto: Jens Büttner

Berlin (dpa/tmn) - Forscher haben eine weitere Schwachstelle des Internets offengelegt. Ein 15 Jahre altes Sicherheitsprotokoll ermöglicht Unbefugten den Zugriff auf verschlüsselte Verbindungen. Endanwender können sich aber recht leicht schützen.

Um sich vor "Poodle", der jüngsten öffentlich gewordenen Sicherheitslücke im Internet zu schützen, sollten Nutzer ihrem Browser die Verwendung von SSLv3 verbieten. Dieses Protokoll zur Verschlüsselung von Daten beim Transfer zwischen Computer und Server ist nach einem Bericht von Sicherheitsforschern anfällig für Angriffe. Im schlimmsten Fall können Unbefugte über die Schwachstelle Accounts von Anwendern übernehmen. Zwar wird der 15 Jahre alte Standard in der Praxis nur noch wenig genutzt, ist aber als Rückfallebene noch in nahezu allen Browsern und Servern enthalten.

Wie "heise.de" berichtet, können Endanwender SSLv3 problemlos in ihrem Browser deaktivieren. Im schlimmsten Fall ließe sich zu einigen Servern keine Verbindung mehr aufbauen. Hier eine Anleitung für die drei am häufigsten verwendeten Browser Firefox, Chrome und den Internet Explorer.

Firefox: In die Adresszeile des Browsers das Kommando "about:config" eingeben, dann nach "tls" suchen und den Wert bei "security.tls.version.min" auf "1" setzen. In der nächsten Firefox-Version soll SSLv3 standardmäßig abgeschaltet sein. Das kostenlose Addon SSL Version Control hilft ebenfalls weiter.

Chrome: Um SSLv3 abzuschalten, muss das Programm mit dem Kommando "--ssl-version-min?tls1" gestartet werden. Dazu legen sich Windows-Nutzer am besten eine Verknüpfung an. Per Rechtsklick und den Punkt "Eigenschaften" werden die Einstellungen geöffnet. Dort muss im Fenster "Ziel" der Befehl hinter den dort angegebenen Programmpfad geschrieben werden.

Internet Explorer: Im Punkt "Internetoptionen" unter "Erweitert" den Punkt "SSL 3.0 verwenden" abwählen, "heise security" rät außerdem zur Aktivierung von "TLS 1.1" und "TLS 1.2".

Testseite zur Überprüfung des eigenen Browsers (engl.)

Addon SSL Version Control für Firefox

Das könnte Sie auch interessieren

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken.

Die Redaktion

Kommentare

Unsere Kommentarfunktion wird über den Anbieter DISQUS gesteuert. Nutzer, die diesen Dienst nicht verwenden, können sich hier über das alte HNA-Login anmelden.

Hinweise zum Kommentieren:
In der Zeit zwischen 17 und 9 Uhr werden keine neuen Beiträge freigeschaltet.

Auf HNA.de können Sie Ihre Meinung zu einem Artikel äußern. Im Interesse aller Nutzer behält sich die Redaktion vor, Beiträge zu prüfen und gegebenenfalls abzulehnen. Halten Sie sich beim Kommentieren bitte an unsere Richtlinien: Bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht. Bitte halten Sie sich bei Ihren Beiträgen an das Thema des Artikels. Lesen Sie hier unsere kompletten Nutzungsbedingungen.

Die Kommentarfunktion unter einem Artikel wird automatisch nach drei Tagen geschlossen.