Verschlüsselte Verbindungen sind im heutigen Internet keine Seltenheit mehr. Im Online-Handel und -Banking, bei dem eigenen Mailprovider und auf Suchmaschinen: Überall werden verschlüsselte Verbindungen aufgebaut. Diese Verbindungen können aber in unterschiedlicher Qualität sein, sind also mehr oder weniger stark verschlüsselt. Besucht jemand eine Seite mit verschlüsselten Inhalt gibt der Browser – hier also Firefox – zu Beginn des ersten Kontaktes eine verschlüsselte Empfehlung an den Server. Ähnlich: Ich kann das – was kannst Du? Diese Verschlüsselungs”absprache” startet in der Regel – je nach benutzten Programm und Webserver-Konfiguration – mit der einfachsten Verschlüsselung, weil diese schnell und ressourcen-sparend bedient werden kann. Wie kann die Sicherheit mit einen höheren Verschlüsselungsgrad optimiert werden?
Gängig sind heute TLS v1.0 Verbindungen und im Rahmen der NSA Debatte werden aus verschiedenen Quellen mindestens v1.1 oder besser noch TLS v1.2 empfohlen. Letztlich kann ein Browser nicht alles bedienen. Der Firefox 25 kann aber auf TLS v1.2 – die z.Z. höchste Verschlüsselungsebene – optimiert werden. Schauen wir uns das mal an.
- Rufe folgende Seite[a] im Firefox auf: SSLLabs -> ‘Test your browser’
- Notiere Dir die angezeigten TLS und SSL Versionen.
- Gib in der Adress-Zeile des Firefox’s ‘about:config’ und in die angebotene Suchzeile das Kürzel ‘tls’ ein – natürlich ohne Hochkomma’s.
- Mache einen rechten Mausklick auf die Option security.tls.version.max, wähle ‘bearbeiten’ und trage den Wert 3 ein.
- Mache einen rechten Mausklick auf die Option security.tls.version.min, wähle ‘bearbeiten’ und trage den Wert 1 ein. [b]
- Rufe wieder die obige Adresse im Browser auf – ein refresh mit F5 langt auch – und schaue nach, wie sich die TLS Versionen erhöht haben.
Entscheidend ist nach den letzten aktuellen Sicherheits- Skandalen nur noch das TLS Protokoll. SSL2 und SSL3 sollte abgeschaltet werden und dies würde auch keinen nennenswerten Funktions- Verlust bedeuten. Um das nochmal deutlich zu sagen: Diese Einstellung wird von mehreren Faktoren beeinflußt. Dadurch kann es zu Unvereinbarkeiten zwischen Browser und Webserver kommen. Da aber die obigen Werte ohne Browser- Neustart sofort wirksam werden, kann man sehr schnell reagieren und die Einstellung rasch heruntersetzen. Wenn die Standardwerte doch wieder gewünscht werden: Ein Rechtsklick auf die genannten Optionen und im Menü einfach ‘zurücksetzen’ wählen.
Als zusätzliche Kontrolle der TLS Verbindung könnte noch das Firefox Add-on ‘Cipherfox’ empfohlen werden: Nach Installation und Besuch einer verschlüsselten Seite kann auf das Schloss- Symbol in der Adressleiste geklickt werden. Dort werden zusätzliche Infos zu der bestehenden Verschlüsselungsstärke bereitgestellt.
Have fun.
[a] alternativ: Mike’s toolbox
[b] genauere Erläuterung der Werte: http://kb.mozillazine.org/Security.tls.version.*
[c] guter Artikel mit weitergehenden Erläuterungen zu TLS.
Toller Tipp, werden ihn mal ausprobieren! Finde aber auch noch die Erweiterung Quick Java ganz interessant, wenn man Firefox sicherer machen möchte.
Hallo Olger, danke für dein feedback!
Mittlerweile kommt ein Webanwender nicht mehr drumherum, sich über Sicherheit im Internet Gedanken zu machen. Deswegen finde ich so kleine Helferlein wie z.B. dieses Quick Java sehr gut. Allerdings bin ich etwas skeptisch, wenn Anwender entscheiden sollen, etwas zu de-aktivieren. Letztlich ist es für einen Anwender ohne IT- Wissen schwierig abzuschätzen, ob die Maßnahme so brauchbar ist … Ich meine, dass die Entwickler und Programmierer in der Pflicht stehen, quasi die Sicherheit build-in zu liefern – also schon fertig eingebaut! Wir sehen das ja beim Firefox: die härtere Verschlüsselung ist eingebaut aber standardmäßig nicht aktiviert. Wieso?