Viele der in den letzten Jahren aufgetauchten Sicherheitsprobleme mit der Verschlüsselung von Datenverbindungen sind auf Altlasten zurückzuführen. Von unsicheren Protokollen über beabsichtigt schwache Cipher reicht dabei die Palette. Nun will die Internet Engineering Task Force (IETF) zumindest mit einem dieser Defizite aufräumen.

Kooperation

So hat die IETF das Ende für SSL Version 3 beschlossen. Die mittlerweile 19 Jahre alte Protokollversion solle künftig weder von Clients noch von Servern unterstützt werden, heißt es im Dokument RFC 7568, das gemeinsam von Mozilla, Google und dem Forschungsinstitut Inria verfasst wurde.

Poodle

Eine der treibenden Motivationen war die im Vorjahr augetauchte Poodle-Lücke, die grundlegende Protokolldefizite in SSL3 nutzte, um verschlüsselte Verbindungen auszuspionieren. Schon damals wurde der Tipp gegeben, SSL3 sowohl am Client als auch am Server zu deaktivieren.

Probleme?

Übrig bleiben damit zur Verschlüsselung nur mehr TLS 1.0, 1.1 und 1.2, wobei ausschließlich zur Nutzung der aktuellsten Version gedrängt wird. Abzuwarten bleibt, welche Nebeneffekte die Deaktivierung von SSL3 haben wird. So ist etwa bekannt, dass der Mail-Client von Windows Phone 7 noch im Jahr 2011 nur diese Verschlüsselungsvariante unterstützte. Wie viele Geräte damit noch kursieren, ist freilich eine andere Frage. Updates gibt es für diese jedenfalls schon länger nicht mehr. Auch andere, ältere Hardware könnte von ähnlichen Problemen betroffen sein. (apo, 29.6.2015)