Am 14. Oktober haben zwei Mitarbeiter von Google eine gravierende Lücke im SSL-3.0-Protokoll entdeckt. So sind Angreifer in der Lage, eine sichere Verbindung über das alte SSL-3.0-Protokoll zu forcieren.
Aus historischen Gründen unterstützen beinahe alle Geräte dieses veraltete Protokoll noch. Dazu zählen Notebooks, Tablets, Smartphones, Desktops und auch Server! Dazu kommen auch Applikationen und Webseiten, wie Webmail, E-Banking, sicherer Mailversand und VPN.
Das Problem: «downgrade dance»
Normalerweise handeln ein Client und ein Server das jeweils sicherste Protokoll miteinander aus. Wenn diese Aushandlung fehlschlägt, wird das nächsttiefere Protokoll gewählt. Dieses Verhalten wird «downgrade dance» genannt. Durch einen Fehler im Protokoll können die übertragenen Daten manipuliert werden, sodass der geheime Schlüssel errechnet werden kann.
Empfohlene Lösung: SSL 3.0 deaktivieren
Da das Protokoll bereits über 15 Jahre alt ist, gibt es aktuell keinen Patch. Die bereits aktiven Nachfolger TLS 1.0 / 1.1 / 1.2 ersetzen SSL 3.0 komplett. Aus diesem Grund gehen wir davon aus, dass es in naher Zukunft keinen Patch für diese Sicherheitslücke geben wird.
Wir empfehlen deshalb, das SSL-3.0-Protokoll auf allen Servern und Clients zu deaktivieren. Gemäss unseren Informationen sind mit Ausnahme von Internet Explorer 6 auf Windows XP keine Probleme zu erwarten. Windows XP wird allerdings von Microsoft seit April 2014 nicht mehr supportet. Der Marktanteil von IE6 ist kleiner als ein Prozent.
Leuchter Kunden sicher
Kunden, die einen IT Plus SLA Servicevertrag besitzen stehen bereits wieder auf der sicheren Seite. Im Rahmen der nächsten Wartung wird das SSL 3.0 Protokoll auf allen Servern und Clients deaktiviert.
Hilfe?
Falls Sie Hilfe bei der Problemlösung benötigen, unterstützt unser Service-Desk-Team Sie gerne bei der Umsetzung.
E-Mail: servicedesk@leuchterag.ch
Tel: +41 41 226 50 47
