SSL 3 ist tot

Nur der Vollständigkeit halber: Wer’s trotz der diversen Berichte noch nicht gemerkt hat: SSL 3 ist faktisch als „tot“ anzusehen. Siehe dazu auch den Beitrag bei Security Labs (in Englisch).

Für mich war das keine Überraschung – SSL 3 nutze ich auf meinen eigenen Servern schon seit über einem Jahr nicht mehr und setze mindestens TLS 1.0 voraus. Bisher gab es deswegen auch keine Beschwerden meiner Nutzer, dass sie Dienste deswegen nicht verwenden können.

Daher rate ich generell dazu, SSL 3 abzuschalten, in Apache etwa mit folgender Konfiguration:

SSLProtocol all -SSLv2 -SSLv3

Als Endbenutzer sollte man SSL 3 ebenfalls im Browser abschalten. Auf der Testseite von SSL Labs kann man den eigenen Browser diesbezüglich auch testen.

Update 2014-11-08: Wer noch ältere Software auf seinem Server nutzt, die keine Anpassung der SSL-Konfiguration erlaubt, dem hilft eventuell „TLS Imposer“.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.