SSL-Sicherheitslücke „POODLE“

„POODLE“ (Padding Oracle On Downgraded Legacy Encryption) ist eine Sicherheitslücke im SSL-Protokoll der Version 3.0, durch die Angreifer auf die Verschlüsselung zwischen Browser und Server zugreifen und so Daten der Verbindung entschlüsseln können.

Dies ist allerdings nur dann möglich, wenn der Angreifer sich im selben Netzwerk wie sein Opfer befindet und die eingesetzte Software SSLv3 einsetzt.

Auf unseren Webservern und im Kundenmenü haben wir SSLv3 bereits deaktiviert.

Für unseren SSL-Proxy (sslsites.de) ist eine Deaktivierung geplant, ebenso erfolgt die Abschaltung von SSLv3 auch in unserem Mailsystem. Dies jedoch kann nur Schritt für Schritt durchgeführt werden und bedarf zuvor detaillierter Prüfungen, wie vor kurzem erst ein Negativbeispiel im Bereich der Exchange-Serververfügbarkeit zeigte.

Wie kann ich mich selbst vor POODLE schützen?

Um sich vor einem Poodle-Angriff zu schützen empfiehlt es sich, für den genutzten Browser SSL 3.0 zu deaktivieren.

Auf der Seite https://www.poodletest.com/ kann getestet werden, ob der eigene Browser gefährdet ist:

Wird ein Pudel angezeigt, unterstützt der Browser SSLv3 und ist somit anfällig für einen Poodle-Angriff. Ein Springfield Terrier hingegen wird angezeigt, wenn SSLv3 nicht unterstützt wird und keine Gefahr besteht.

Deaktivierung von SSL 3.0 in den gängigsten Browsern

In den gängigsten Browsern Mozilla Firefox, Google Chrome und Internet Explorer kann SSL 3.0 wie folgt deaktivert werden (für Safari leider nicht möglich):

Mozilla Firefox:

  • about:config in die Adresszeile eingeben
  • Versprechen geben, vorsichtig zu sein
  • security.tls.version.min suchen und öffnen
  • Wert 1 eintragen und „Ok“ klicken

Der Tab kann dann einfach geschlossen werden, es ist kein Speichern notwendig.

Firefox, about:config   Firefox, security.tls.version.min

Google Chrome:

  • Rechtsklick auf das Desktopicon für Google Chrome und „Eigenschaften“ wählen
  • Unter der Registerkarte „Ziel“ folgendes hinzufügen (nicht das Ziel überschreiben):
    –ssl-version-min=tls1

Chrome: Eigenschaften    Chrome: Ziel der Verknüpfung erweitern

Internet Explorer:

  • Oben rechts im Startmenü „Internetoptionen“ auswählen
  • Unter „Erweitert“ den Haken bei „IE: SSL 3.0 verwenden“ entfernen

IE: Internetoptionen    IE: SSL 3.0 verwenden

Da sich für einen möglichen Angriff Opfer und Angreifer im gleichen Netzwerk befinden müssen, sollten öffentliche WiFi Netze möglichst vermieden werden, sofern SSLv3 noch nicht deaktiviert wurde.

Zudem ist eine umfangreiche Absicherung des eigenen Netzwerks– natürlich nicht nur in Bezug auf die Poodle-Sicherheitslücke – dringend zu empfehlen und schützt vor den Angriffen.

End of article

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

15 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • ad1601com
    ad1601com - 21. Oktober 2014 um 15:24 Uhr

    Vielen Dank für die Hintergrundinfos!

  • ad1601com
    ad1601com - 21. Oktober 2014 um 15:26 Uhr

    OT: Könnt Ihr die Gravatars nicht „normal“ quadratisch belassen?
    Unser Logo sieht im Bullauge echt gruselig aus 🙁

  • Anonymous
    Anonymous - 21. Oktober 2014 um 15:46 Uhr

    Die eingesetzte Software muß SSLv3 nicht bevorzugt einsetzen. Wäre das so, wäre das Problem viel kleiner.
    In der Praxis läuft der Angriff anders ab: Der Browser unterstützt ein Zurückfallen auf SSLv3 und der Angreifer erzwingt dieses.

    Was das Netzwerk betrifft: Ja, schon. Aber der Angreifer kann auch irgendwo auf der Strecke zwischen heimischem Netzwerk und Server zuschlagen. Es genügt also, wenn der Angreifer Kontrolle über irgendeinen Router (et cetera) auf der Strecke erlangen kann.

  • Anna
    Anna - 21. Oktober 2014 um 15:47 Uhr

    Danke für den Hinweis, Anonymous. Wir haben das gleich verbessert.

    ad1601com, wir schauen gerade, wie wir das mit dem Avatar besser machen!

  • Anna
    Anna - 21. Oktober 2014 um 15:54 Uhr

    ad1601com – ist geändert! 🙂

  • ad1601com
    ad1601com - 21. Oktober 2014 um 15:55 Uhr

    Yuhuu. Dank Dir! =)

  • mar-e
    mar-e - 21. Oktober 2014 um 15:55 Uhr

    Korrektur: „Anonymous“ -> „mar-e“
    Sorry, da hatte ich beim Absenden nicht aufgepasst.

  • Anna
    Anna - 21. Oktober 2014 um 16:00 Uhr

    Ah ok – danke schön, mar-e 🙂

  • mar-e
    mar-e - 21. Oktober 2014 um 16:16 Uhr

    zu sslsites.de:
    (beim Mailsystem kann man ja glücklicherweise berechtigte Hoffnung haben, dass die Lücke schwerer ausnutzbar ist.)

    Poodle ist jetzt schon seit einer Woche öffentlich bekannt. Das ist eine lange Zeit.

    a) Ich würde gerne verstehen, was die Prüfungen so langwierig macht.

    b) Ich frage mich, ob das durch die Sicherheitslücke verursachte Risiko nicht größer ist, als das Risiko einer nicht zu 100% durchgetesteten Änderung. Wie sieht df das?

  • Gregor
    Gregor - 21. Oktober 2014 um 19:42 Uhr

    Cetero Censeo: Bei der Gelegenheit wäre es doch endlich mal angebracht, die Cypher-Suites mit RC4 und ohne forward secrecy in der Reihenfolge weiter nach hinten zu schieben. Ich bin negativ beeindruckt, dass das noch immer nicht getan wurde. Einer der Hauptgründe übrigens, warum ich meine Webpräsenzen inzwischen fast alle von DF weggezogen habe. Weil das sehr viel über das Verhältnis eines Hosters zum Thema Security aussagt. Und jetzt erst (halbwegs) auf Poodle reagieren hinterlässt auch keinen besonders guten Eindruck in der Hinsicht bei mir.

  • Stefan Berger
    Stefan Berger - 21. Oktober 2014 um 21:15 Uhr

    DF ist, was die Security betrifft, schon lange nicht mehr vorne. Stichwort reversibel gespeicherte Kennwörter für SSH, Datenbanken, Mailaccounts. Aber man ist ja bemüht und behält diese Themen im Blick, weil sie wichtig sind. Seit 6 Jahren. RC4 ist gebrochen, aber wird immer noch angeboten. Was soll man da sagen.

  • mar-e
    mar-e - 22. Oktober 2014 um 10:47 Uhr

    @Gregor:
    df war anfangs sehr schnell. Als ich am Morgen nach der Veröffentlichung von Poodle einen Forenbeitrag geschrieben habe, hatte ich innerhalb von vier Minuten eine erste Antwort und innerhalb von einer Stunde war SSLv3 für das Kundenmenü abgeschaltet.
    https://www.df.eu/forum/threads/74618-POODLE-SSL-Sicherheitslücke
    Die Abschaltung auf den Webservern mit Zertifikat (die ohne hat df vergessen) war am nächsten Tag abgeschlossen, nicht super-schnell aber auch nicht super-langsam (zumal dort, ironischerweise, RC4 Schutzwirkung gegen Poodle hatte).

  • Gregor
    Gregor - 25. Oktober 2014 um 00:23 Uhr

    @mar-e: Naja, die websites ohne eigenes Zertifikat benutzen ja noch immer SSLv3, insofern hat DF das Problem noch immer nicht vollständig im Griff. Habe gerade mal bei einer Kundenpräsenz getestet. Eine andere mit eigenem Zertifikat bietet inzwischen tatsächlich kein SSLv3 mehr an. Dass DF für die immerhin nicht besonders langsam reagiert hat, ist nett, reicht im Gesamtbild aber nicht. Dass RC4 Poodle verhindert ist in der Tat Ironie des Schicksals. Aber so oder so, RC4 als erstes Anbieten geht einfach nicht und die Art, wie in sich dem entsprechenden Forenthread dazu geäußert wird, hat bei mir jedes Vertrauen in die Einstellung zum Thema Sicherheit bei DF nachhaltig zerstört. Ich möchte über die als Geschäftsgeheimnis behandelten Gründe dafür auch lieber nicht genauer nachdenken. Habe ich aber, was mit zu dem Entschluss geführt hat, meinen Kram lieber anderswo zu hosten.

  • Anna
    Anna - 29. Oktober 2014 um 08:36 Uhr

    Wir möchten an dieser Stelle auf unseren Beitrag im Forum verweisen, in dem Sie noch weitere Informationen zu der Sicherheitslücke „POODLE“ und unseren Arbeiten diesbezüglich finden:
    https://www.df.eu/forum/threads/74618-POODLE-SSL-Sicherheitsl%C3%BCcke?p=476890&viewfull=1#post476890