Qbi's Weblog

Die Webseite How’s My SSL zeigt, wie gut oder schlecht euer Browser konfiguriert ist. Für den Firefox in der Version 24 ergibt sich:

Your SSL client is Bad.

Wie lässt sich der Wert nun verbessern? Ich habe untenstehend mal ein paar Hinweise zusammengestellt.

Firefox

Die Notizen beziehen sich auf den Firefox in der Version 24. In älteren Versionen hießen die entsprechenden Konfigurationspunkte teilweise anders. Eventuell ändern sich die Werte in der Zukunft wieder.

Die Konfiguration des Firefox’ muss über about:config angepasst werden. Im Menü gibt es dafür keine Möglichkeiten. Gebt also in die Adresszeile about:config ein. Firefox wird warnen, dass sich die Änderungen auf Sicherheit, Stabilität etc. auswirken können. Aus meiner Sicht sind die unten vorgestellten Änderungen unkritisch. Daher könnt ihr die Meldung bestätigen.

Im folgenden Fenster gibt es oben eine Suchzeile und unten diverse Konfigurationsoptionen. Gebt in die Suchzeile tls.v (oder auch tls.version) ein. Es erscheinen vier oder fünf Ergebnisse. Wichtig sind die Optionen security.tls.version.min und security.tls.version.max. Im letzten Eintrag auf der Zeile stehen die Zahlenwerte 0 (SSL 3.0), 1 (TLS 1.0), 2 (TLS 1.1) oder 3 (TLS 1.2). Mit einem Doppelklick auf die Zeile lassen sich die Werte ändern. Ich würde security.tls.version.min auf 2 setzen und security.tls.version.max auf 3. Es kann jedoch sein, dass bestimmte Seiten mit den Einstellungen nicht mehr funktionieren. In dem Fall setzt ihr den ersten Wert auf 1. Berichtet mal, welche Seiten das betrifft. Ihr solltet auch den Admin der Seite informieren. Vielleicht passt dieser die Konfiguration des Servers ja an.

Der nächste Punkt, der von der Testseite reklamiert wird, sind unsichere Algorithmen. Die Chiffre SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA wird vom Firefox noch unterstützt. Gebt in die about:config-Seite fips ein. Es dürfte nur ein Ergebnis bleiben. Ein Doppelklick ändert der Wert auf False. Brian Smith wies mich auf eine Diskussion bei Github hin. Dort gibt es einen Pull-Request nach dem SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA als nicht unsicher eingestuft werden soll. Eventuell muss diese Chiffre nicht aus den Einstellungen entfernt werden. Im Firefox ab Version 27 wird die entfernt.

Ein Reload der Seite zeigt nun das Ergebnis:

Your SSL client is Probably Okay.

Ich würde alle RC4-Chiffren ebenfalls deaktivieren. Dazu suche ich einfach rc4 und setze alle Werte auf falsch. Kai Raven hat weitere nützliche Hinweise zur Verschlüsselung im Firefox gesammelt. Seine Seite ist immer einen Blick wert.

Auf Twitter kommentierte @andiheimann, dass das Tor Browser Bundle bei dem Test durchfällt:

@qbi @netzpolitik Der #TorBrwoser fällt beim Test leider auch durch..

— andi (@andiheimann) 10. Januar 2014

In dem Fall muss Tor eine Balance zwischen Anonymität und Sicherheit finden. Vermutlich sticht ein Browser mit den Einstellungen zu stark aus der Masse heraus und gefährdet damit die Anonymität des Nutzers. Insofern ist es hier wieder sinnvoller zu warten. Immerhin hat Firefox angekündigt, ab der Version 27 die neuen TLS-Versionen standardmäßig zu aktivieren. Dann verschwindet das Problem hoffentlich von allein.

Das Tor-Projekt hat die Version 4.0 des Tor-Browser veröffentlicht. Darin wurde SSLv3 wegen der POODLE-Schwachstelle deaktiviert.

Google Chrome und Chromium

Chrome und Chromium machen laut der Seite auf Anhieb alles richtig. Falls auch RC4 deaktiviert werden soll, muss der Aufruf mit Optionen erfolgen:

chromium --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 deaktiviert RC4. Die Codes für den Aufruf sind in der TLS Cipher Suite Registry aufgelistet.

Im Oktober 2014 wurde eine Lücke bei SSL3 bekannt. Daher ist es sinnvoll, mindestens TLS 1.0 zu verwenden. Diese Option muss daher im Aufruf mit enthalten sein: --ssl-version-min=tls1.

Opera

Opera 12 präsentiert sich zunächst auch mit schlechten SSL/TLS-Einstellungen. Unter Windows liefert Opera die Version 18 aus. Diese wie auch Opera Next werden von der Testseite als Gut eingestuft.

Wenn ihr die alte Opera-Version habt, kommt ihr mit der Taste Strg+F12 in das Menü. Im letzten Reiter »Erweitert« gibt es den Eintrag »Sicherheit«. Mit der Schaltfläche »Sicherheitsprotokolle« öffnen sich die Einstellungen. Dort sollte nur TLS 1.2 (und ggf. TLS 1.1) aktiv sein. Bei den Einzelheiten könnt ihr die Einträge für ARC4 rausnehmen.

Mit den Einstellungen kommt der Opera auf Improvable. Problematisch sind hier noch die Session Tickets. Leider fand ich keine Möglichkeit, die Einstellungen zu ändern. Falls ihr einen Hinweis habt, hinterlasst einen Kommentar.

Safari

Der Webbrowser von Apple ist genau wie der Opera Improvable. Die Session Tickets trüben die Wertung und wie oben gilt: Wer einen Hinweis zur Konfiguration hat, möge den als Kommentar hinterlassen.

Internet Explorer

Der Internet Explorer hat standardmäßig SSLv3 noch aktiviert. Klickt auf das Zahnrad und wählt Internetoptionen. Im Reiter Erweitert müsst ihr bis ganz nach unten scrollen. Dort seht ihr dann Schaltflächen für SSLv2, SSLv3 und mehr. Deaktiviert SSLv3 und bestätigt dies. Danach verwendet der Internet Explorer kein SSLv3 mehr.

Andere

Andere Browser werde ich eventuell später noch ergänzen.

Updates:

1. Felix “ href=”/blog/archives/1563-SSL-im-Browser-sicher-verwenden.html#c9071">wies darauf hin, dass er noch einen weiteren Ausschluss für den Chrome braucht.
2. Vielen Dank an @mr_moosbee, @remark73 und @kampfflunder für die Safari-Hinweise.
3. Ein paar Worte zum Tor Browser Bundle.
4. Brian Smith schickte mir den Link zu der Diskussion auf Github und morphium erwähnte in den Kommentaren Opera.
5. Verweis auf den Eintrag zum Firefox-Tuning im Wiki von Kai Raven.
6. Mit der POODLE-Schwachstelle muss mindestens TLS 1.0 verwendet werden.
7. Erwähnung von TBB 4.0 ohne SSLv3
8. Beschreibung zum Internet Explorer
   

Heute, auf dem Weg in die Innenstadt, entschied ich mich kurzerhand nach dem aktuellen Stand des Hochwassers Ausschau zu halten. Dabei verlor ich mein eigentliches Ziel aus den Augen und tigerte mehrere Stunden entlang der Saale.

Der Startpunkt war die Camsdorfer Brücke, eines der sieben Wunder der Stadt. Das Bild links zeigt in Richtung des Wenigenjenaer Ufers. Dort, wo die Bäume stehen, befindet sich ein kleiner Weg und eine Wiese, wo Menschen grillen und chillen. Zwischen dem Baum, der aus dem Wasser ragt und dem blauen Schild sassen vor nicht allzu langer Zeit mit dem Bürgermeister Jenas und sangen Lieder. Auf dem rechten Bild stehe ich auf der Treppe, die zum Ufer führt. Einige Leute schauten mich etwas merkwürdig an, als ich die Stufen hinabstieg. Sie warteten dann und hofften wohl, dass entweder ich oder meine Kamera den Weg ins Wasser finden.

---

Auf dem Rückweg von der Brücke fiel mir ein, dass auf der anderen Seite eine Fuchsfamilie wohnte. Doch wie zu erwarten war, war kein Fuchs zu sehen und ihre »Wohnung« stand unter Wasser. Die Camsdorfer Brücke war die ganze Zeit sehr gut besucht. Sie ist natürlich die Verbindung zwischen der Innenstadt und Jena-Ost. Diesmal hielten viele mit Kamera an, um das Hochwasser zu fotografieren.

Ich begab mich dann weiter in Richtung Stadtrodaer Straße bzw. Paradies-Bahnhof. Dort ist ein Wehr und mich interessierte, wie hoch das Wasser dort mittlerweile steht.

In meinem Rücken ist die Stadtrodaer Straße, also die Schnellstraße, die nach Lobeda und zur Autobahn führt. Ich stehe an einer Umtragestelle für Bootsfahrer. Ein paar Meter vor dem Wehr kann man mit dem Boot anlanden und muss es bis zu dieser Treppe tragen. Dort werden die Boote wieder ins Wasser gesetzt und die Fahrt kann weiter gehen.

Ich habe an der Stelle zwei Videos gemacht. Die zeigen recht imposant die Situation am Wehr:

Ich entschied mich, Richtung Stadion weiterzulaufen. Unterwegs kam ich an der Strandbar 22 vorbei. Dort waren natürlich die Schotten dicht. Die Barhocker, die sonst direkt am Ufer der Saale standen, waren überflutet.

Ein paar Meter weiter, am Ernst-Abbe-Sportfeld, wartete dann das erste echte Hindernis. Vom Sportfeld lief das Wasser in Richtung Saale und der gesamte Sportplatz stand unter Wasser. Eigentlich sollte hier ein Sportfest stattfinden. Aber das wurde schon im Vorfeld abgesagt. Tja, was tun? Sowohl Schuhe wie auch Hose waren bereits nass. Also beschloss ich, einfach durch das Wasser zu waten. Die vom Wasser umspülten Schuhe sind hier zu sehen:

Mit nassen Füßen ging es dann weiter in Richtung Stadion. Ich wusste von anderen Fotos, dass das Stadion eher einer überdimensionalen Badewanne gleicht, denn ein Fußballplatz ist. Leider ist das Stadion nicht gut von außen einzusehen. So dass ich nicht sagen kann, ob bereits die Haie kreisen.

Kurz hinter dem Stadion erwischte mich ein kurzer, aber heftiger Schauer. Beim Unterstellen kam ich mit ein paar Leuten ins Gespräch. Einige bereiteten sich auf die Jugendweihefeier vor. Die Festwiese war durchweicht und die Saale drückte auch dagegen. Interessanterweise nahmen es die Leute mit Humor und meinten: »Da haben wir etwas, was wir noch in zehn Jahren erzählen können«.

Zwei Stellen lagen auf dem Weg und die wollte ich gern noch besuchen. Zum einen war das die Bootsanlegestelle des SV Schott. Zwei Wochen eher waren wir dort zu Besuch und unserer Kinder machten eine Schnupperstunde auf ein paar Paddelbooten. Das Bild links ist ein Vergleich der Situation von vor zwei Wochen und heute. Leider konnte ich die Bilder nicht vom selben Standpunkt aus machen. Der Baum oben und unten ist jeweils identisch. Das Bootshaus ist momentan durch Sandsäcke abgesicht. Das heißt, momentan müsste das Wasser ca. 30 cm steigen ehe größerer Schaden entsteht.

Die zweite für mich interessante Stelle war die Baustelle der Universaale. Dort wird unsere neue Schule gebaut. Die steht aber quasi sowieso schon in der Saale und ich war gespannt, wie dort die Lage ist. Das rechte Bild die Saale mit einem Wehr auf der linken Seite. Direkt hinter mir ist die Baustelle. Zu dem Zeitpunkt als ich das Foto machte, stand die Saale genau am Rand des Zauns. Ein paar Stunden später ging bis zu der Betonplatte vor schon eine Pfütze. Sollte also der Pegel weiter steigen, wird der Schulkeller wohl gewässert und der Eröffnungstermin rückt in die Ferne.

Über den Spielplatz im Paradies lief ich dann wieder zurück Richtung Paradies-Bahnhof. Dabei kam ich am Zusammenfluss von Leutra und Saale vorbei. Die Leutra ist normalerweise ein kleiner Plätscherbach, in dem oft Kinder spielen. Heute hätte ich mich als Erwachsener nicht da rein getraut. Das Wasser floss mit hoher  Geschwindigkeit gen Saale. Direkt neben dem Zusammenfluss war wieder die Strandbar. Viele Leute gingen dahin und erzählten ihre Erlebnisse. Ich machte mich auf zum Bahnhof und schute mir das Schauspiel von der anderen Seite an.

Im Laufe meiner Wanderung habe ich über 50 Bilder gemacht. Die liegen in einem Album bei Flickr. Videos sind oben schon eingearbeitet. Momentan codieren noch zwei vor sich hin. Ich verlinke die später.

Tja, ich kann mir nur wünschen, dass der Pegel nicht mehr höher steigt. Denn das würde sicher einigen Schaden nach sich ziehen. Ich drücke von hier aus die Daumen, dass das Schlimmste vorbei ist.

Die nächste Woche bietet zwei spannende Termine:

1. Der Datenkanal geht wieder auf Sendung. In der ersten Sendung im neuen Jahr wollen wir uns über den 29C3 unterhalten.
2. Es gibt wieder eine CryptoParty im Krautspace. Beim letzten Mal haben wir nur theoretisch diverse kryptologische Aspekte angesprochen. Dies schien Tim Thaler nicht ganz zu gefallen. Diesmal geht es mehr um die praktischen Aspekte. Im Wiki stehen schon einige Ideen drin. Wenn euch was interessiert, kommt einfach mit vielen Fragen vorbei. Wenn ihr keine Fragen habt, so wäre es schön, wenn ihr ein paar Kleinigkeiten zum Knabbern mitbringt.

In aller Welt finden momentan so genannte CryptoPartys statt. Diese sollen in einer entspannten Atmosphäre Nutzer über verschiedene Aspekte von Kryptografie bzw. Anwendungen aufklären. Die erste CryptoParty in Jena steht vor der Tür. Am kommenden Freitag, dem 23. November 2012, startet im Krautspace eine CryptoParty. Ich werde dort ein paar Worte zu Kryptografie im Allgemeinen verlieren und später tiefer in Richtung OTR eintauchen. Vermutlich werde ich nur die theoretische Seite erklären können, da es im Krautspace immer noch kein Internet gibt. Weitere Vorschläge sind im Wiki unter dem Punkt Inhalte aufgelistet. Die Veranstaltung findet nach dem Prinzip der Barcamps statt. Das heißt, wer will, kann einen Vortrag oder Workshop halten.

Ich würde mich freuen, wenn recht viele zu der Veranstaltung kommen und sich von den Vorteilen der Kryptografie überzeugen lassen. Vermutlich sind auch Reporter von Dradio Kultur anwesend. Also seid darauf gefasst, interviewt zu werden.

Update: Kleinen Fehler beseitigt. Vielen Dank an fpunktk