{"id":2674,"date":"2015-10-26T10:13:47","date_gmt":"2015-10-26T09:13:47","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2674"},"modified":"2025-11-20T15:05:59","modified_gmt":"2025-11-20T14:05:59","slug":"sslv3-rc4-google-verabschiedet-sich-von-unsicheren-standards","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/sslv3-rc4-google-verabschiedet-sich-von-unsicheren-standards\/","title":{"rendered":"SSLv3 & RC4: Google verabschiedet sich von unsicheren Standards"},"content":{"rendered":"

Die Verschl\u00fcsselungsprotokolle RC4 und SSLv3 sind unsicher \u2013 dar\u00fcber sind sich die Sicherheitsexperten einig. Die Internet Engineering Task Force (IETF<\/a>) empfiehlt bereits seit geraumer Zeit, diese Protokolle nicht mehr zu verwenden, und nun startet auch der Suchmaschinenriese Google mit dem Abschalten. Google startet bei seinen Frontend-Servern und wird den Support der unsicheren Verschl\u00fcsselungsprotokolle nach und nach bei jedem Produkt\/ Dienst einstellen, auch beim hauseigenen Browser Chrome sowie dem Mobil-Betriebssystem Android.<\/p>\n

<\/p>\n

SSLv3: Seit 16 Jahren \u00fcberfl\u00fcssig<\/h2>\n

In Googles Online-Security-Blog schreibt Security-Ingenieur Adam Langley<\/a>, dass man sich im Zuge der Umstellung auf SHA-2 von SSLv3 sowie RC4 trennen m\u00f6chte \u2013 SSLv3 sei bereits seit 16 Jahren \u00fcberfl\u00fcssig. Das gelte auch f\u00fcr die RC4-Verschl\u00fcsselung, die bereits 28 Jahre z\u00e4hlt; sie habe ihren Dienst gut geleistet, sei inzwischen jedoch antiquiert und m\u00fcsse stillgelegt werden.<\/p>\n

Soweit zur Theorie. Die Praxis zeigt, dass SSLv3 noch immer weit verbreitet ist: SSL Labs nimmt sich regelm\u00e4\u00dfig die Top-rankenden Alexa-Seiten<\/a> vor, um diese auszuwerten. Demzufolge unterst\u00fctzen im September 2015 noch immer 32,6 % der 200.000 Top-Seiten SSLv3.<\/p>\n

Um die SSLv3- sowie RC4-Unterst\u00fctzung nun zwangsweise zu beenden und das World Wide Web sicherer zu gestalten, beendet Google den Support beider Algorithmen zun\u00e4chst f\u00fcr die hauseigenen Frontend-Server, sp\u00e4ter f\u00fcr den Chrome-Browser, Android, die Webcrawler und die SMTP-Server. \u00dcber einen genauen Zeitplan schweigt sich Google aus, jedoch sind Server- und Client-Entwickler aufgefordert, diesen Schritt mitzugehen: „If your TLS client, webserver or email server requires the use of SSLv3 or RC4 then the time to update was some years ago, but better late than never“, schreibt Langley.<\/p>\n

Alternative zu SSLv3 und RC4<\/h3>\n

Weiter schl\u00e4gt Langley TLS, den SSL-Nachfolger, als Alternative vor. TLS wird gro\u00dffl\u00e4chig unterst\u00fctzt; auch dieser Standard existiert bereits seit geraumer Zeit. Google beschreibt die folgenden Mindestanforderungen als Voraussetzung f\u00fcr den TLS-Support:<\/p>\n