News Firefox 27 bringt mehr Sicherheit durch TLS 1.2
- Ersteller fethomm
- Erstellt am
- Zur News: Firefox 27 bringt mehr Sicherheit durch TLS 1.2
PuppetMaster
Admiral
- Registriert
- Sep. 2001
- Beiträge
- 8.243
Dann nutz' lieber 24.3.0 ESR, damit sind wenigstens die bekannten Sicherheitslücken gefixt.
Alternative: https://addons.mozilla.org/de/firefox/addon/downloads-window/
--
Nach aktuellem Stand nicht vor 29.
Alternative: https://addons.mozilla.org/de/firefox/addon/downloads-window/
--
Yuuri schrieb:
Nach aktuellem Stand nicht vor 29.
Zuletzt bearbeitet:
(Erweiterung ergänzt)
G
Gelbsucht
Gast
Ich mußte beim lesen der News übelst grinsen. Ich mein, ich selber nutze Waterfox und bin also quasi auch betroffen, aber...
Ich hab mal den alten Internet Explorer 9 (!) auf meinem Win7 gestartet, weil mir einfiel das der auch Optionen für diese Verschlüsselungen hat -und siehe da, der hat für TLS 1.2 schon quasi eine Ewigkeit den Kasten drin.
Das die Gegenstelle sowas natürlich unterstützen muß, damit der Handshake funktioniert, ist zwar nur rein logisch und steht auf nem anderen Blatt.
Aber dennoch peinlich für Mozilla, erst 2014 dran zu denken, das mal einzubauen.
Ich hab mal den alten Internet Explorer 9 (!) auf meinem Win7 gestartet, weil mir einfiel das der auch Optionen für diese Verschlüsselungen hat -und siehe da, der hat für TLS 1.2 schon quasi eine Ewigkeit den Kasten drin.
Das die Gegenstelle sowas natürlich unterstützen muß, damit der Handshake funktioniert, ist zwar nur rein logisch und steht auf nem anderen Blatt.
Aber dennoch peinlich für Mozilla, erst 2014 dran zu denken, das mal einzubauen.
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
@Jakopo
oder Downloadmanager Tweak 1.0.5 (geht auch wieder)
https://addons.mozilla.org/de/firefox/addon/download-manager-tweak/
p.s. wie schauts dann bei Shumway aus in Zukunft?
bleibt das dann ein Plugin?
oder Downloadmanager Tweak 1.0.5 (geht auch wieder)
https://addons.mozilla.org/de/firefox/addon/download-manager-tweak/
p.s. wie schauts dann bei Shumway aus in Zukunft?
bleibt das dann ein Plugin?
Andi07
Banned
- Registriert
- Aug. 2013
- Beiträge
- 681
Guten Morgen zusammen!
Ich denke hier haben manche einen Denkfehler.
SSL3.0 ist nicht gleich TLS1.0. TLS1.0 ist der Nachvolger von SSL3.0
SSL3.0 ist die schwächste vom Firefox angebotene Verschlüsselungsmethode.
Das entspricht dann in "about:config" in security.tls.version.* dem Wert: 0
Eine Stufe darüber steht dann TLS1.0, security.tls.version.* Wert: 1
TLS1.1 security.tls.version.* Wert: 2
TLS1.2 security.tls.version.* Wert: 3
Es wurde ja schon angesprochen, dass die Server-seitige Verschlüsselungsmethode teilweise zu wünschen übrig lässt.
TLS1.0 sollte aber schon der Mindeststandard bei den Servern sein.
Für mich bedeutet das bzgl. dem Firefox: TLS1.0 ist bei mir der Mindeststandard und RC4-Verschlüsselung ist bei mir abgeschalten.
In "about:config" > Suche: rc4 > hier alle Werte auf "false" setzen.
Es ist schon traurig, das selbst größere Seiten kein TLS1.1 oder höher anbieten.
So z.B. für die Leute die bei "Amazon" (https://www.amazon.de) bestellen. Maximale Verschlüsselungsmethode ist bei denen TLS1.0
http://www.internet-sicherheit.de/institut/buch-sicher-im-internet/workshops-und-themen/verschluesselung-und-identitaeten/ssltls-verschluesselung/
Verschlüsselungsmethoden des Browsers feststellen:
https://cc.dcsec.uni-hannover.de/
Gruß Andi
Ich denke hier haben manche einen Denkfehler.
SSL3.0 ist nicht gleich TLS1.0. TLS1.0 ist der Nachvolger von SSL3.0
SSL3.0 ist die schwächste vom Firefox angebotene Verschlüsselungsmethode.
Das entspricht dann in "about:config" in security.tls.version.* dem Wert: 0
Eine Stufe darüber steht dann TLS1.0, security.tls.version.* Wert: 1
TLS1.1 security.tls.version.* Wert: 2
TLS1.2 security.tls.version.* Wert: 3
Es wurde ja schon angesprochen, dass die Server-seitige Verschlüsselungsmethode teilweise zu wünschen übrig lässt.
TLS1.0 sollte aber schon der Mindeststandard bei den Servern sein.
Für mich bedeutet das bzgl. dem Firefox: TLS1.0 ist bei mir der Mindeststandard und RC4-Verschlüsselung ist bei mir abgeschalten.
In "about:config" > Suche: rc4 > hier alle Werte auf "false" setzen.
Es ist schon traurig, das selbst größere Seiten kein TLS1.1 oder höher anbieten.
So z.B. für die Leute die bei "Amazon" (https://www.amazon.de) bestellen. Maximale Verschlüsselungsmethode ist bei denen TLS1.0
http://www.internet-sicherheit.de/institut/buch-sicher-im-internet/workshops-und-themen/verschluesselung-und-identitaeten/ssltls-verschluesselung/
Verschlüsselungsmethoden des Browsers feststellen:
https://cc.dcsec.uni-hannover.de/
Gruß Andi
Zuletzt bearbeitet:
@ Andi07
Wo ist da der Denkfehler? Auch wenn beide Seiten TLS1.x unterstützen und das kann man schon länger beim FX manuell aktivieren @ Gelbsucht, wird i.d.R. das niedrigste Protokoll ausgehandelt und Ende letztes Jahr hat man da noch sehr oft einen SSL3 Flag bei der verwendeten Verschlüsselung gesehen.
Wo ist da der Denkfehler? Auch wenn beide Seiten TLS1.x unterstützen und das kann man schon länger beim FX manuell aktivieren @ Gelbsucht, wird i.d.R. das niedrigste Protokoll ausgehandelt und Ende letztes Jahr hat man da noch sehr oft einen SSL3 Flag bei der verwendeten Verschlüsselung gesehen.
Marco^^
Lt. Commander
- Registriert
- Aug. 2012
- Beiträge
- 1.797
DeusoftheWired schrieb:
handchake zwischen server und client.
Bitte mal das Zertifikat ansehen, mit dem aktuellen Einstelleungen !
PAYPAL
Google.de
Yahoo.de
Live.com
Gmail.com
https://www.howsmyssl.com/
Ich habe vor kurzem erst Berichte gesehen, da war eine Ausssage, egal was Ihr macht, wir haben die schnellen Rechner um "warscheinlich" in Echtzeit den Key zu errechnen ...
about:config
RC4 umschalten nach false
fips umschalten nach false
EDE3 umschalten nach false
128 umschalten nach false
Gegencheck:
256 ALLE auf true !
Browser restarten
https://www.howsmyssl.com/
Mann kann auch noch HTTPS Everywhere benutzen von EFF.org
IPv6 umschalten nach false
pipelining
network.http.pipelining umschalten nach true
network.http.pipelining.maxrequest umschalten nach 8
network.http.pipelining.ssl umschalten nach true
network.http.proxy.pipelining umschalten nach true
Zuletzt bearbeitet:
mensch183
Captain
- Registriert
- Jan. 2008
- Beiträge
- 3.666
Solange Firefox (ohne Addons) keinerlei Certificate Pinning betreibt, ist die Diskussion um aktuelle TLS-Versionen weitgehend nonsense. Fast niemand würde bemerken, wenn sein Browser mit jemandem ganz anderen "redet" als der Nutzer nach Eintippern der URL erwartet. Die tollste Transportverschlüsselung ist fürn Popo, wenn man die vorher nötige "Gegnererkennung" unter den Tisch fallen läßt.
Der-Orden-Xar
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.685
Zur Diskussion ob, wie und warum nicht TLS 1.x:
Per min.version = 2 sperrt ihr euch bei ca 3/4(*) der per HTTPS_übertragenen Seiten aus laut: SSL-Pulse
Nicht ganz das Optimum^^
(*) 3/4 wenn der Schnitt von TLS1.2 und TLS1.1-unterstüzung Maximal wäre, bei trivialem Schnitt ca 1/2
Wenn die Auroa-DE-version schon fertig wäre würde ich nachschauen, aber die 28er Aurora hat es bis zur letzten Version per autoupdate (3.2) nicht gehabt.
Also 6 Wochen sicher, mal schauen was am WE das nächste Autoupdate sagt (es sei denn ich werd ungeduldig^^)
Per min.version = 2 sperrt ihr euch bei ca 3/4(*) der per HTTPS_übertragenen Seiten aus laut: SSL-Pulse
Nicht ganz das Optimum^^
(*) 3/4 wenn der Schnitt von TLS1.2 und TLS1.1-unterstüzung Maximal wäre, bei trivialem Schnitt ca 1/2
IE 9 unter Vista kanns nicht, IE 8-10 unter 7/8 auch nicht per default, also auch nicht schlimmer als die ESR-gurken^^Gelbsucht schrieb:
Yuuri schrieb:Also verschoben worden? Auch gut, muss ich mich in 12 Wochen erst um die neue Firefox UI kümmern.
Wenn die Auroa-DE-version schon fertig wäre würde ich nachschauen, aber die 28er Aurora hat es bis zur letzten Version per autoupdate (3.2) nicht gehabt.
Also 6 Wochen sicher, mal schauen was am WE das nächste Autoupdate sagt (es sei denn ich werd ungeduldig^^)
Andi07
Banned
- Registriert
- Aug. 2013
- Beiträge
- 681
Helge01
Hallo Helge01!
Entschuldige, das stimmt so nicht. RC4;AES;DHE;ECDHE etc. sind andere "Baustellen" als SSL3.0;TLS1.0 etc.
Man kann das ganz gut mit dem Straßenverkehr vergleichen.
SSL3.0, TLS1.0 etc. sind hier die Straßen oder Wege und RC4, AES etc. die Fahrzeuge.
Um es mal plastisch zu sagen. RC4 auf SSL3.0 ist wie ein Kind auf einem Dreirad auf einer engen und kaputten Dorfstraße. Auf der dann auch mal große Traktoren (AES128) auftauchen können.
Welche Straßen und Fahrzeuge eine Webseite zulässt, kann man sich hier sehr gut anzeigen lassen.
https://www.wormly.com/test_ssl
Gruß Andi
Hallo Helge01!
Entschuldige, das stimmt so nicht. RC4;AES;DHE;ECDHE etc. sind andere "Baustellen" als SSL3.0;TLS1.0 etc.
Man kann das ganz gut mit dem Straßenverkehr vergleichen.
SSL3.0, TLS1.0 etc. sind hier die Straßen oder Wege und RC4, AES etc. die Fahrzeuge.
Um es mal plastisch zu sagen. RC4 auf SSL3.0 ist wie ein Kind auf einem Dreirad auf einer engen und kaputten Dorfstraße. Auf der dann auch mal große Traktoren (AES128) auftauchen können.
Welche Straßen und Fahrzeuge eine Webseite zulässt, kann man sich hier sehr gut anzeigen lassen.
https://www.wormly.com/test_ssl
Gruß Andi
@ Andi
Firefox Standard zeigt z.Bsp. bei Web.de SSL 128bit RC4 an, wenn man RC4 und AES128 deaktiviert sind es TLS 256Bit AES, man muss also höhere Verschlüsselungen erzwingen. Problem, so konfiguriert kann Firefox zu vielen Seiten keine Verbindung mehr aufbauen, darunter Amazon ab der LogIn Seite wird die HP dann komplett zerschossen angzeigt
Firefox Standard zeigt z.Bsp. bei Web.de SSL 128bit RC4 an, wenn man RC4 und AES128 deaktiviert sind es TLS 256Bit AES, man muss also höhere Verschlüsselungen erzwingen. Problem, so konfiguriert kann Firefox zu vielen Seiten keine Verbindung mehr aufbauen, darunter Amazon ab der LogIn Seite wird die HP dann komplett zerschossen angzeigt
Andi07
Banned
- Registriert
- Aug. 2013
- Beiträge
- 681
Guten Morgen!
Ja richtig, Gleipnir!
U.a. deshalb habe ich die Seite Test_Verschlüsselung_von_Webseiten in meinem letzten Post eingefügt.
Hier kann man dann seine benötigten Webseiten überprüfen lassen und in dem Fall den Firefox entsprechend einstellen.
Zufälligerweise habe ich das mal mit Amazon und dem Firefox getestet.
Das eine verschlüsselte Verbindung zustande kam, war der größtmögliche Verschlüsselungs-Pfad TLS1.0. den Amazon akzeptiert hat.
Das entspricht über about:config > security.tls.version.min dem Wert 1.
Alle RC4-Einträge hatte und habe ich grundsätzlich auf "false" gesetzt. about:config > Suche > rc4
Sobald aber in security.tls.version.min der Wert auf 2 (TLS1.1) gesetzt wird, kommt keine Verbindung zu Amazon zustande.
Gruß Andi
Ja richtig, Gleipnir!
U.a. deshalb habe ich die Seite Test_Verschlüsselung_von_Webseiten in meinem letzten Post eingefügt.
Hier kann man dann seine benötigten Webseiten überprüfen lassen und in dem Fall den Firefox entsprechend einstellen.
Zufälligerweise habe ich das mal mit Amazon und dem Firefox getestet.
Das eine verschlüsselte Verbindung zustande kam, war der größtmögliche Verschlüsselungs-Pfad TLS1.0. den Amazon akzeptiert hat.
Das entspricht über about:config > security.tls.version.min dem Wert 1.
Alle RC4-Einträge hatte und habe ich grundsätzlich auf "false" gesetzt. about:config > Suche > rc4
Sobald aber in security.tls.version.min der Wert auf 2 (TLS1.1) gesetzt wird, kommt keine Verbindung zu Amazon zustande.
Gruß Andi
Der-Orden-Xar
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.685
Und ja wohl Australis ist im 29er Auroa enthalten - und hat mir direkt zusammen mit TMP das wechseln zwischen verschiedenen zerschossen.
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.997
Seit wann ist denn AES 128b unsicher?
