Hallo Leser,

heute morgen hat heise.de folgenden Meldung zum Thema SSL Verschlüsselung veröffentlicht:

 Das eigentlich längst veraltete SSLv3 ist die Achillesferse der Verschlüsselung im Internet: Damit gesicherte Verbindungen lassen sich dechiffrieren. Und der Angreifer kann erzwingen, dass das schwache Protokoll zum Einsatz kommt. Zeit zu handeln.

01 heise meldung PoodleZitat: „Der Knackpunkt ist, dass ein Angreifer den Einsatz von SSLv3 erzwingen kann, indem er in den SSL/TLS-Verbindungsaufbau eingreift. Haben sich dann Server und Client auf eine SSLv3-Verbindung geeinigt, gibt es einen Angriff auf die Verschlüsselung, mit dessen Hilfe sich wichtige Daten der Verbindung dechiffrieren lassen. So könnte der Angreifer etwa das Sitzungs-Cookie klauen und damit dann den Account des Anwenders kapern.“

Ich zeige heute wie ein Webserver auf Microsoft Servern, sprich der IIS so konfiguriert werden kann, dass SSL 3.0 oder geringere Verschlüsselungstechnologien genutzt werden.

Dazu muss mit Hilfe von „regedit“  gearbeitet werden. Alternativ lässt sich auch das Tool IIS Crypto von Nartac Software genutzt werden, welches ich für meine Konfiguration nicht verwendet habe!

 

Schritt 1 – Analyse

Sollte nicht bekannt sein welche Verschlüsselungstechnologien auf dem Webserver eingesetzt werden, so kann eine öffentlich zugängliche Website leicht überprüft werden. Dazu verwendet man einfach die Website von SSL Labs: https://www.ssllabs.com/ssltest/index.html.

Wir sollten also wissen ob SSL 3.0 auf unseren Webservern angeboten wird oder nicht. Der für meinen Test verwendeten Webserver, unterstützt derzeit SSL 3.0 (Bild 1)

 

Schritt 2 – Registry wert ändern

  1. „regedit“  ausführen
  2. Zu dem Pfad “ 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    “ wechseln

    • Sollte der Pfad „SSL 3.0\Server“ nicht vorhanden sein, bitte anlegen!
  3. Den Wert im DWORD „Enabled“ von 1 auf 0 setzen! (Bild 2)
  4. Server neu starten!
Zu faul? Hier die *.reg als ZIP zum Downlaod :) ssl.zip

Schritt 3 – erneut überprüfen

Erneute Überprüfung der Website ergibt nun folgendes Ergebnis:

SSL 3. Inaktiv

Schritt 4 – Internet Explorer Einstellungen überprüfen und setzten

Nicht nur Serverseitig sollte SSL 3.0 ausgeschaltet werden. Auch den Client, hier den Internet Explorer, sollte man entsprechend Konfigurieren.

Dazu werden die Internetexplorer Einstellungen geöffnet. In der Registerkarte „Erweitert“ findet sich unterhalb von Sicherheit der Punkt „SSL 3.0 verwenden“ = DEAKTIVIEREN!!! (Bild 4)

Andi