Am Donnerstag, den 5.11. erschien auf Heise Security eine Meldung zu einer Schwachstelle im SSL/TLS-Protokoll. Es war schwierig, aus der Beschreibung die Brisanz der Schwachstelle abzuleiten. Die bei Heise folgende Diskussion zeigte, dass der Eindruck entstand, dass es sich um eine Lücke handle, die nur bei exotischen Konfigurationen auftreten würde. Diese Einschätzung ist leider falsch! Heute meldet Heise: OpenSSL fixt TLS-Schwachstelle. Allerdings besteht hier der Fix nur darin, die Wiederverhandlung im TLS abzuschalten. Dabei handelt es sich jedoch zur Zeit leider um die beste zur Verfügung stehende Maßnahme. Das Security Advisory von Cisco, das gestern erschien, liest sich wie eine Produktportfolio (“Details”), da fast jedes Produkt SSL/TLS unterstützt. Hier arbeitet man an Lösungen.
Thomas Gebhardt und ich haben für unsere Administratoren und als Vorlage für Informationen für unsere Benutzer einen Artikel zusammengestellt, in dem wir den Wissensstand noch einmal in Deutscher Sprache zusammenfassen. Relevant ist dieses Wissen vor allem für Betreiber von Infrastruktur, die SSL/TLS verwendet (also z.B. HTTPS, IMAPS, LDAPS, etc.) aber leider auch für alle Benutzer von Online Banking, Online Shopping, eGovernment etc.
- Artikel: Die TLS Wiederverhandlungsproblematik (TLS renegotiation issue)
- Folien: TLS Wiederverhandlungsattacke