Microsoft plant Deaktivierung von SSLv3 im IE und in allen Online-Services

Microsoft plant, die Unterstützung des kryptografisch schwachen Protokolls SSLv3 im Internet Explorer zu einem noch nicht genauer definierten Zeitpunkt zu deaktivieren und die Unterstützung dieses Protokolls auch bald aus den Online-Services des Unternehmens zu löschen.

Die Sicherheit und der Nutzen von SSLv3 stellen schon seit langem ein Problem dar, doch dieses Problem erlangte erst kürzlich höchste Priorität, nachdem die Experten bei Google Details einer neuen Attacke mit der Bezeichnung POODLE aufdeckten, die es Cyberkriminellen ermöglicht, geschützte Daten unter bestimmten Umständen zu dechiffrieren. Wenn ein Cyberkrimineller die Internet-Verbindung seines Ziels kontrolliert und er sein Opfer dazu bringen kann, Javascript im Browser zu starten, ist er in der Lage, den Inhalt der von SSLv3 geschützten Sitzung zu entschlüsseln. Um das zu tun, muss das Angriffsziel dazu gebracht werden, das veraltete Protokoll zu verwenden, was möglich ist, indem ein Abbruch der Verbindung zwischen Server und Client herbeigeführt wird. Daraufhin versucht der Server, eine Verbindung mit dem Client über ein anderes Protokoll herzustellen.

SSLv3 gibt es schon fast 15 Jahre lang und Experten halten es schon seit langem für eine Sicherheitsbedrohung und haben den Betreibern von Websites nicht nur einmal empfohlen, neuere Alternativen zu verwenden, wie z.B. TLS 1.2. Doch es gibt noch eine Menge Sites, die nach wie vor SSLv3 verwenden, und der IE 6, ein Dinosaurier unter den Browsern, unterstützt in der Standardeinstellung keine geschützten Protokolle der Transportschicht, die neuer als SSLv3 sind. Vertreter von Microsoft teilten mit, dass das Unternehmen plant, die Möglichkeit des IE auf SSLv3 zurückzugreifen, zu löschen, und mit der Zeit die Verwendung dieses Protokolls per Standardeinstellung zu deaktivieren.

„Wir sind fest entschlossen, unsere Kunden zu schützen, indem wir die beste Verschlüsselung zum Schutz ihrer Daten bereitstellen. Um das zu erreichen, arbeiten wir an der Deaktivierung des Zurücksetzens auf SSL 3.0 im IE sowie an der Deaktivierung von SSL 3.0 als Standardeinstellung im IE und in den Online-Diensten von Microsoft in den kommenden Monaten“, schreibt Tracey Pretorius vom MSRC (Microsoft Security Response Center) in einem Blog.

„Millionen Menschen und tausende Organisationen weltweit verlassen sich auf unsere Produkte und Services, und da die Zahl der Systeme, die sich ausschließlich auf SSL 3.0 verlassen, sehr gering ist, räumen wir ein, dass die Deaktivierung gewisse Auswirkungen haben könnte, besonders für Unternehmen. Daher gehen wir dieses Problem planvoll an und haben unsere Kunden im Voraus informiert.“

Microsoft hat zudem das Tool FixIt veröffentlicht, das es Nutzern ermöglicht, die Unterstützung von SSLv3 in jeder beliebigen unterstützten IE-Version zu deaktivieren.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.