SSL-3.0-Lücke "POODLE" - testen und beheben

17.10.2014

Zwar erfordert das Ausnutzen der jüngsten Sicherheitslücke im SSL-Protokoll einigen Aufwand, man sollte aber dennoch  SSL 3.0 am besten abschalten.

Die kürzlich gefundene Lücke in SSL 3.0 betrifft nur das Protokoll, aber nicht die kryptografischen Verfahren, die damit verbunden sind. Um sie auszunutzen, muss sich der Angreifer als Man in the Middle in die Kommunikation zwischen Client und Server einschalten und per Manipulation das SSL-Protokoll auf Version 3 downgraden. Mit den neuesten Updates verhindern die Browser-Hersteller das auf Client-Seite, also empfiehlt sich schon hier eine Aktualisierung der Software.

Wer selber einen Server betreibt, sollte zunächst einmal testen, ob dieser ein Fallback auf SSL 3.0 unterstützt. Das lässt sich mit dem Kommandozeilentool des OpenSSL-Pakets recht einfach bewerkstelligen:

openssl s_client -connect Server:443 -ssl3

Um etwa beim Apache-Webserver das SSL3-Protokoll abzuschalten, schließt man es in der SSL-Konfiguration (meist "/etc/apache2/mods-enabled/ssl.conf") mit der "SSLProtocol"-Zeile aus:

SSLProtocol all -SSLv2 -SSLv3

Alternativ ist es auch möglich, alle SSL-Protokolle außer TLS 1.x abzuschalten:

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Ähnlich sieht die Lösung bei Nginx aus:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Auch beim Mailserver Postfix lassen sich die Protokolle auf analoge Weise begrenzen (siehe auch den ADMIN-Tipp "Authentifizierung mit Postfix" ):

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Bleibt noch der beliebte IMAP/POP-Server Dovecot , der es ebenso erlaubt, die verwundbaren SSL-Protokolle auszuschließen, etwa in der Datei "/etc/dovecot/local.conf":

ssl_protocols = !SSLv2 !SSLv3
SSL
comments powered by Disqus
Mehr zum Thema

Was von TLS übrig bleibt

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023