Zum Inhalt springen

TLS/SSL Sicherheit im Firefox verbessern

Obwohl Firefox TLS 1.2 seit Version 24 unterstützt, ist es nicht aktiv. Nicht mal in der aktuellen stabilen Version 26. Das ist nicht gut.

Es gibt eine Webseite, mit der man die TLS-Fähigkeiten seines Browsers testen kann. Der aktuelle Chromium besteht alle Tests, aber scheinbar mag die Seite Firefox 26 nicht besonders:
ssl_bad

Um zwei Probleme müssen wir uns kümmern. Zuerst fehlt der TLS 1.2 Support. Dieser kann im Firefox 26 in der Konfiguration aktiviert werden. Gib dazu about:config in die Adresszeile ein, bestätige die Warnmeldung und suche dann nach security.tls.version. Änder den Wert von tls.version.max auf 3 für TLS 1.2 und von tls.version.min auf 1 für mindestens TLS 1.0. Wichtig ist dabei, dass du ab sofort keine Seiten ohne TLS-Unterstützung besuchen kannst. Aber das will eh keiner.

tls_config

Das zweite Problem ist der Support für die Chiffre SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA welche vielleicht nicht unbedingt verwendet werden sollte: https://github.com/jmhodges/howsmyssl/pull/17.
Firefox 26 unterstützt Chiffren die als unsicher bekannt sind.
insecure_cyphers

Diese Einstellung kann ebenfalls in der Konfiguration deaktiviert werden. Suche dazu im about:config Fenster nach security.ssl3.rsa_fips_des_ede3_sha und deaktiviere es.

disable_rsa_fips

Das war’s, dein Firefox – zumindest Version 26 – sollte nun den Test bestehen!

ssl_ok

Mehr Infos gibt es unter: https://www.howsmyssl.com/s/about.html.

(Screenshots CC-BY-SA3.0 Danilo Bargen, Originaltext ebenfalls)

19 Kommentare

    • vinzv vinzv

      Uff, ich bin ja schon froh die beiden Optionen oben so halbwegs verstanden zu haben…

      • Tobias Tobias

        – Elliptic-Diffie-Hellman ist in der aktuellen OpenSSL-Implementierung „broken“ (http://safecurves.cr.yp.to/index.html).
        – DES und ALLES, was damit zusammenhängt, ist seit den 90ern tot.
        ( – AES 128 und Camellia sind zu kurz, wird aber für Amazon benötigt)
        – RC4 ist ‚putt.
        – Zusammengefasst: http://i.imgur.com/d2tMEWQ.png , wobei der die 128-bit-Schlüssel vergessen hat. Die brechen dann aber Amazon und CloudFront.

        • vinzv vinzv

          Danke!
          „bricht Amazon“ klingt ja schon fast nach einem Bonus-Feature ;)

          • Tobias Tobias

            schtobia@tslaptop-1:~/ >sslscan images-na.ssl-images-amazon.com | grep Accepted
            Accepted SSLv3 128 bits AES128-SHA
            Accepted SSLv3 128 bits RC4-MD5
            Accepted TLSv1 128 bits AES128-SHA
            Accepted TLSv1 128 bits RC4-MD5

            *das*, meine Freunde, nennt man #fail.

    • vinzv vinzv

      Ach, Hosteurope… -.-
      (alles andere hätte mich aber auch gewundert bei dem Verein)

  1. Ich habe ewig versucht rauszufinden, warum ich mit FF kein Youtube mehr schauen kann. „Es ist ein Fehler aufgetreten….“ Deaktivieren aller Addons/SafeMode hat auch nichts gebracht. Dann gemerkt, dass es geht, wenn ich HTTPSEverywhere deaktiviere UND auch in der Adresszeile darauf achte, dass da kein httpS:// steht.
    Ich habe es vorher nicht realisiert, aber ich konnte kein YT mehr sehen, seit ich mal nach diesem Artikel hier die Cipher-Suites durchkämmt und deaktivert habe. Hab noch nicht untersucht, welche man für Youtube braucht, aber es muss irgendwie daran liegen. Die Webseiten laden ganz normal, nur die Videos laufen nicht. Bekloppt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.