Kategorieauswahl

Informationen zu SSL und TLS

Oft spricht man von SSL (Secure Socket Layer) oder SSL-Verschlüsselung. Häufig meint man damit jedoch TLS (Transport Layer Security). Die meist gestellt Frage dürfte wohl sein, was denn nun der Unterschied zwischen SSL und TLS ist. SSL wurde von der Firma Netscape entwickelt um Daten verschlüsselt und sicher über das Internet zu übertragen. Es fand aber nie den Einzug in RFCs und ist somit ein proprietärer Standard. Häufig wird behauptet, dass SSL Version 3.0 dasselbe ist wie TLS Version 1.0. Nun, die beiden liegen ziemlich nah beieinander, sind aber doch so verschieden, dass Sie nicht miteinander kompatibel sind. D.h. ein Client der SSL 3.0 spricht kann nicht auf einen Server zugreifen, der nut TLS 1.0 kann und genauso umgekehrt. TLS ist in RFC 2246 als Internetstandard fixiert. Als Vorlage dafür diente SSL 3.0. Daher auch die häufige Verwechslung der beiden.

SSL 3.1 / TLS 1.0 galten bislang als sicher und werden daher noch vielfach eingesetzt. Im September 2011 wurde allerdings offiziell BEAST (Browser Exploit Against SSL TLS)vorgestellt. Eine länger bekannte Sicherheitslücke, die speziell auf AES (Advanced Encryption Standard) Verschlüsselung abzielt wurde in den nachfolgenden Protokollen TLS 1.1 (RFC 4346) und 1.2 (aktuell – RFC 5246) behoben. Bei RC4 unter TLS 1.0 (obwohl es eine schwächere Verschlüsselung als AES nutzt) funktioniert BEAST ebenfalls nicht.

Microsoft hat das Problem erkannt und daher dieses Security-Bulletin veröffentlicht. Als Administrator eines IIS sollten Sie das auf jeden Fall lesen und anwenden!!!
Für den Apache empfiehlt sich mod_gnutls statt mod_ssl, oder wenn mod_ssl, dann die Verwendung von RC4 statt AES (Beschreibungen dazu finden Sie an jeder Ecke im Internet).

Das Hauptproblem dürften aber die Browser sein. Wenn die Browser nicht schleunigst aktualisiert und vor allem richtig konfiguriert werden, dann nutzt die gesamte Server seitige Sicherheit nichts! Um Ihren Browser sicher zu machen, sorgen Sie in der jeweiligen (IE, Firefox, Chrome, Opera, etc…) Konfiguration dafür, dass nur noch TLS 1.1 oder 1.2 zum verschlüsselten Verbindungsaufbau akzeptiert werden. Sollten Sie keine Option dafür finden, sondern nur TLS 1.0/SSL 3.0, aktualisieren Sie Ihren Browser und wenn das auch nicht hilft, wechseln Sie den Webbrowser! Sollten Sie alles erledigt haben, aber z. B. Probleme beim Onlinebanking bekommen, weil die Webserver der Bank immer noch nur TLS 1.0 können, denken Sie über einen Wechsel Ihrer Bank nach! Das ist dann in meinen Augen schon fahrlässig und somit kein vertrauenswürdiger Geschäftspartner in einem so sensiblen Bereich!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert