Artikel mit Tag lücke

Poodle - SSL 3.0 im Internet Explorer, Chrome oder Firefox deaktivieren

Zum Abschluss der "Erste Hilfe" Serie über die Poodle Lücke (Windows Server, Apache, Postfix und Nginx) möchte ich kurz zeigen, wie sich das unsichere SSL 3.0 Protokoll in den bekannten Browsern abschalten lässt. Unbedingt nötig ist das nicht, da zum Beispiel Chrome und Firefox in den kommenden Versionen SSLv3 von Haus aus abschalten werden. Dennoch eine kleine Anleitung, soll ja Nutzer geben, die weiterhin ältere Browser nutzen:

Poodle - SSL 3.0 im Internet Explorer deaktivieren

Microsoft bietet seit kurzem eine FixIt Tool (Download) an, welches das unsicherere SSL Protokoll abschaltet. Das Tool ist nicht unbedingt notwendig, da mit wenigen Hangriffen die notwendige Einstellung selbst vorgenommen werden kann:

  1. Internet Explorer öffnen
  2. Einstellungen anzeigen (alt+X)
  3. Internetoptionen
  4. Reiter "Erweitert" anklicken
  5. Den Haken bei "SSL 3.0 verwenden" entfernen

ie-ssl3

Poodle - SSL 3.0 im Firefox abschalten

Mozilla wird das Protokoll, wie schon erwähnt in der kommenden Version des Browsers deaktivieren. Wer dem zuvor kommen möchte, der muss folgendes einstellen:

  1. "about:config" in die Adresszeile eingeben
  2. Den Schlüssel "security.tls.version.min" suchen
  3. Der vorhanden Wert muss auch "1" geändert werden.

firefox-ssl3

Poodle - SSL3 in Chrome deaktivieren

Auch Chrome wir in der neuen Version kein SSL 3 mehr unterstützen. Für den Moment genügt es die Verknüpfung mit einem zusätzlichen Schlüssel zu versehen.

  1. Rechtsklick auf die Chrome Verknüpfung
  2. Eigenschaften auswählen
  3. Im Reiter Verknüpfung unter Ziel am Ende den Wert "--ssl-version-min=tls1" anhängenchrome-ssl3


Heartbleed Detector - Android Systeme auf Heartbleed Lücke prüfen

Wer sich nicht sicher ist, ob sein Android Gerät auf die "Lücke des Jahres" Heartbleed anspricht, der erhält mit dem Heartbleed Detector genau die richtige App, um das abzuprüfen.

Die Anwendung macht nicht anderes, als eure OpenSSL Version auszulesen, da ja bekanntlich nicht alle Versionen des Protokolls betroffen sind.

Heartbleed-Detector

Auch wenn die App nicht mehr als eine Info zurückgibt und weiter Nichts tun kann, wisst ihr immerhin, ob eure Android Version auf der sicheren Seite ist oder nicht.

Download Heartbleed Detector App Android