TLS/SSL Sicherheit im Firefox verbessern

ssl_bad

Obwohl Firefox TLS 1.2 seit Version 24 unterstützt, ist es nicht aktiv. Nicht mal in der aktuellen stabilen Version 26. Das ist nicht gut.

Es gibt eine Webseite, mit der man die TLS-Fähigkeiten seines Browsers testen kann. Der aktuelle Chromium besteht alle Tests, aber scheinbar mag die Seite Firefox 26 nicht besonders:
ssl_bad

Um zwei Probleme müssen wir uns kümmern. Zuerst fehlt der TLS 1.2 Support. Dieser kann im Firefox 26 in der Konfiguration aktiviert werden. Gib dazu about:config in die Adresszeile ein, bestätige die Warnmeldung und suche dann nach security.tls.version. Änder den Wert von tls.version.max auf 3 für TLS 1.2 und von tls.version.min auf 1 für mindestens TLS 1.0. Wichtig ist dabei, dass du ab sofort keine Seiten ohne TLS-Unterstützung besuchen kannst. Aber das will eh keiner.

tls_config

Das zweite Problem ist der Support für die Chiffre SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA welche vielleicht nicht unbedingt verwendet werden sollte: https://github.com/jmhodges/howsmyssl/pull/17.
Firefox 26 unterstützt Chiffren die als unsicher bekannt sind.
insecure_cyphers

Diese Einstellung kann ebenfalls in der Konfiguration deaktiviert werden. Suche dazu im about:config Fenster nach security.ssl3.rsa_fips_des_ede3_sha und deaktiviere es.

disable_rsa_fips

Das war’s, dein Firefox – zumindest Version 26 – sollte nun den Test bestehen!

ssl_ok

Mehr Infos gibt es unter: https://www.howsmyssl.com/s/about.html.

(Screenshots CC-BY-SA3.0 Danilo Bargen, Originaltext ebenfalls)

19 Gedanken zu „TLS/SSL Sicherheit im Firefox verbessern“

          1. schtobia@tslaptop-1:~/ >sslscan images-na.ssl-images-amazon.com | grep Accepted
            Accepted SSLv3 128 bits AES128-SHA
            Accepted SSLv3 128 bits RC4-MD5
            Accepted TLSv1 128 bits AES128-SHA
            Accepted TLSv1 128 bits RC4-MD5

            *das*, meine Freunde, nennt man #fail.

  1. Ich habe ewig versucht rauszufinden, warum ich mit FF kein Youtube mehr schauen kann. „Es ist ein Fehler aufgetreten….“ Deaktivieren aller Addons/SafeMode hat auch nichts gebracht. Dann gemerkt, dass es geht, wenn ich HTTPSEverywhere deaktiviere UND auch in der Adresszeile darauf achte, dass da kein httpS:// steht.
    Ich habe es vorher nicht realisiert, aber ich konnte kein YT mehr sehen, seit ich mal nach diesem Artikel hier die Cipher-Suites durchkämmt und deaktivert habe. Hab noch nicht untersucht, welche man für Youtube braucht, aber es muss irgendwie daran liegen. Die Webseiten laden ganz normal, nur die Videos laufen nicht. Bekloppt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *