SSLv3 und der Poodle

SSLv3: Achillesferse der Verschlüsselung und wie Sie damit umgehen

„Poodle“ nennt sich die Schwachstelle, die in der SSL-Version 3 (SSLv3) jüngst gefunden wurde und die diese SSL-Version zur Achillesferse der Verschlüsselung macht. Die Schwachstelle in der längst veralteten Version erlaubt es, eigentlich gesicherte Verbindungen zu dechiffrieren. Das hat insbesondere für Sie als Shopbetreiber weitreichende Konsequenzen.

Wie sieht das Poodle-Angriffsszenario aus?

SSLv3 ist ein Protokoll, das mittlerweile schon 15 Jahre alt ist. Noch immer verwenden fast alle Server und Browser dieses Protokoll als Fallback-Möglichkeit. Der Angriff, der Poodle getauft wurde, nutzt eben diesen Fallback aus. Angreifer können SSLv3 erzwingen, wofür ein Eingriff in den Verbindungsaufbau via SSL/TLS nötig ist. Haben sich Client sowie Server geeinigt, SSLv3-verschlüsselt zu kommunizieren, ist die Verschlüsselung nicht mehr sicher und Angreifer können wichtige Daten dechiffrieren.

Das bedeutet konkret: Ein Besucher Ihres Shops möchte seine Bestellung aufgeben. Als verantwortungsbewusster Shopbetreiber haben Sie ein SSL-Zertifikat installiert. Ihr Kunde wähnt sich in Sicherheit, jedoch kann er nicht spüren oder sehen, ob sich ein Angreifer zwischen ihm und Ihrem Server eingeschleust und ein Fallback auf das veraltete Protokoll realisiert hat. Dieser Angreifer kann nun Sitzungscookies Ihres nichts ahnenden Kunden klauen. Mit den darin enthaltenen Daten kann er die Daten Ihres Kunden manipulieren, an seiner Stelle bei Ihnen einkaufen oder sich in anderer Weise frei bedienen.

Dieser Angreifer befindet sich also in der Man-of-the-middle-Position. Genau dort kommen sämtliche Netzwerkpakete vorbei – Geheimdienste könnten sich in dieser Position genauso befinden wie Ihr Nachbar, der heute Ihr WLAN mitverwendet. Den für einen Angriff notwendigen Fallback zu erreichen, ist keine besondere Herausforderung – nahezu alle Server und Clients unterstützen dies. Und genau hier schlummert die Gefahr, die von Poodle ausgeht: Dieses Uralt-Protokoll wird noch immer rege genutzt.

Was bedeutet das für Sie als Shopbetreiber?

Als Shopbetreiber sind Sie in einer recht prekären Situation: Sie sind nicht nur für Ihren eigenen Server verantwortlich, sondern sind auch noch in der Pflicht, sich um Ihre Dienstleister zu kümmern. Verwenden Sie beispielsweise PayPal, gilt es zu wissen, wie der Payment-Service reagiert. PayPal hat die SSLv3-Unterstützung am 03. Dezember 2014 abgeschalten. Das bedeutet für Sie, dass Sie Ihr Shopsystem und die PayPal-Integration prüfen sollten, damit Sie sichergehen, PayPal auch nach dem Stichtag noch verwenden zu können. PayPal-Händler sollten direkt von dem Zahlungsanbieter kontaktiert werden. Welche Schritte Sie konkret durchführen können, um PayPal weiterhin zu nutzen, erklärt der Payment-Anbieter in diesem PDF.

Handlungsempfehlungen: So reagieren Sie sicher

Viele Browserentwickler haben bereits begonnen, SSLv3 abzuschalten. Genau das ist auch für Sie ratsam. Mit dem Test, den Qualys SSL Labs anbietet, können Sie zunächst prüfen, ob Ihr Webserver das veraltete SSLv3-Protokoll überhaupt unterstützt. Wenn ja, gilt es, den Server so zu konfigurieren, dass kein Fallback auf SSLv3 mehr möglich ist. Nutzen Sie einen Apache-Server, arbeiten Sie mit der Zeile „SSLProtocol All -SSLv2 -SSLv3“. Die Seite Bettercrypto.org gibt in ihrem „Applied Crypto Hardening-Guide“ (PDF) nicht nur Handlungsempfehlungen zur Konfiguration Ihres Servers, sondern bietet auch Copy&Paste-Lösungen, sodass Sie die vorgegebenen Zeilen nur noch anpassen brauchen.

Eine andere Option besteht darin, den Fallback mit SCSV zu realisieren. Das verhindert zwar Downgrade-Angriffe, allerdings bleibt eine Verbindung angreifbar, wenn sie von Beginn SSLv3 verwendet. Nichtsdestotrotz haben die OpenSSL-Entwickler diese Option bereits in der neuen OpenSSL-Version integriert. Zu guter Letzt ist es immer ratsam, Aufklärung zu betreiben: Schreiben Sie Ihre Kunden an, liefern eine kurze Erklärung zu der Problematik und bitten Sie Ihre Kunden, ihr Passwort zu wechseln, nachdem Sie Ihren Server auf den neuesten Stand gebracht haben.

Dieser Beitrag wurde unter onlineshops abgelegt am von .

Über Tom Adebahr

Ich brenne für den E-Commerce und habe das Glück in einem spannenden Internet-Unternehmen in leitender vertrieblicher Position angestellt zu sein. Ein Faktor für meine überdurchschnittliche Motivation war schon immer meine Einstellung zur Arbeit. Ich habe viel Freude an dieser und genieße es, ins Büro zu fahren und das eigene Wissen um das meiner Kollegen zu ergänzen, um im Team effizient und erfolgreich zu sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *