Gestern ist eine Sicherheitslücke in einer alten Version der SSL-Verschlüsselung aufgetaucht, in der Version SSLv3. Durch diese Sicherheitslücke kann die Verschlüsselung geschwächt werden. – In der Presse wurde diese Sicherheitslücke Poodle-Attacke getauft.
SSLv3 ist veraltet und lange nicht mehr Stand der Technik. Aktuelle Browser und Mailclients unterstützen alle den moderneren TLS Standard.
Aus diesem Grund haben wir gestern mittag auf unserem Web- und Mailcluster SSLv3 abgeschaltet.
Unsere Systeme sind von der derzeit publizierten SSLv3-Lücke nicht betroffen und nicht angreifbar!
Weitere Informationen finden Sie unter
http://www.heise.de/security/meldung/Poodle-Experten-warnen-vor-Angriff-auf-Internet-Verschluesselung-2424122.html
Update 1: Gerade erreicht uns die Nachricht von Timo Sirainen (dem Hauptentwickler des Dovecot-Mailservers), dass er nach Studium des Angriffsszenarios für das POODLE-Problem kaum eine bis gar keine Möglichkeit sieht, diesen Angriff über das POP3 oder IMAP Protokoll durchzuführen.
Update 2: Wir hatten zunächst SSLv3 nur auf unseren Enduser-Mailsystemen, den Webservern und unseren Secure-Mailern für TLS-Only-Mailversand (*@secure.mailbox.org) abgeschaltet, weil man sich nur dort auf eine sichere SSL-Verbindung verläßt und verlassen können muß. Heute Mittag haben wir aus grundsätzlichen Erwägungen SSLv3 auch noch auf den „normalen“ Mailrelays abgeschaltet, weil es heute einfach keinen Sinn mehr macht, SSLv3 zu unterstützen. Anders als derzeit im Netz etwas hochgepuscht ist es auf normalen Mailservern zum Mailaustausch zwischen Providern (!) jedoch relativ egal, ob ein (hackbares) SSLv3 aktiv ist, oder nicht, weil Mailserver im Zweifelsfall sowieso eine Klartextübertragung der E-Mails vornehmen würden und es darum relativ egal ist, ob SSLv3 lesbar wäre, oder nicht. Wie auch immer: Auch dort haben wir es mittlerweile aus prinzipiellen Gründen deaktiviert.