Das Ende für SSLv3 ist da!

Wir müssen aufgrund der aufgetauchten Sicherheitslücke namens „Poodle“ das bisher zusätzlich unterstützte SSLv3 Protokoll abschalten. Wir suchten seit Bekanntwerden der Sicherheitslücke nach Alternativen um auch noch sehr alten Browsern und Programmen eine sichere Verbindung zu unseren Servern zu ermöglichen.

Mangels Alternativen und um dieser Sicherheitslücke keinen Angriffspunkt zu bieten, schalten wir ab sofort die SSLv3 Version ab und zwingen den aufrufenden Browser  oder das Programm damit eine sichere TLS Verbindung aufzubauen wenn verschlüsselt übertragen wird. Das TLS Protokoll gehört seit mehr als 15 Jahren bereits zum Standard und wird von allen gängigen Browser seither unterstützt.

Ein alter Browser der hier Probleme bekommen wird, ist z. B. der Internet Explorer 6 aus dem Jahr 2001. Die Abschaltung betrifft demnach Besucher mit sehr alten Browsern, die ohnehin als unsicher zu betrachten sind. Damit ist zukünftig keine Verbindung über https mehr möglich.

Mehr Infos unter: heise.de