Sicherheitslücke Poodle: Wir deaktivieren SSLv3 am 22.10.2014

Dieses Jahr werden IT-Sicherheitskräfte auf Trab gehalten: Nach Heartbleed im Frühling und Shellshock im vergangenen Monat wurde diese Woche eine neue Schwachstelle mit dem wohlklingenden Namen Poodle entdeckt.

Bei Poodle handelt es sich zwar nicht unbedingt um eine akute Katastrophe, doch ist das Problem ernst zu nehmen, da potentiell verschlüsselte Verbindungen entschlüsselt werden können.

Glücklicherweise befindet sich die Lücke Poodle in einem uralten Protokoll (SSLv3), welches bereits vor 15 Jahren durch den Nachfolger TLS 1.0 abgelöst wurde. Doch bis heute steht SSLv3 als sogenannter Fallback zur Verfügung und kann Erzwungen werden, indem Verbindungen über das neuere Protokoll TLS geblockt werden.

SSLv3 wird deaktiviert

Dank des hohen Alter von SSLv3 ist die Lösung des Problems einfach: SSLv3 muss abgeschaltet werden. Da alle gängigen Browser seit vielen Jahren TLS 1.0 unterstützen, ist das kaum ein Problem. Einzig Benutzer des Internet Explorers 6 unter Windows XP bleiben aussen vor. Aber selbst Windows XP unterstützt TLS 1.0, sofern später veröffentlichte Updates eingespielt wurden.

Wir deaktiveren deshalb die Unterstützung von SSLv3 auf sämtlichen Servern (Webhosting, Speedserver und Agencyserver) sowie auf unseren eigenen Diensten wie Webmail oder my.cyon

am Mittwoch, den 22. Oktober 2014.

Wenn Sie ein SSL-Zertifikat installiert haben und SSLv3 zwingend anbieten müssen, setzen Sie sich bitte unter mail@cyon.ch mit uns in Verbindung.

Poodle – die Abkürzung für Padding Oracle On Downgraded Legacy Encryption. Bildquelle.

Falls Sie noch weiter in die Thematik von Poodle eintauchen möchten, finden Sie z.B. bei heise, Wikipedia oder bei den Entdeckern des Bugs weiterführende Informationen.