Die Tage schrieb ich ja über das neu bekannt gewordene Problem namens FREAK. Und irgendwie war mir klar, dass Windows nicht außen vor ist. Warum sollten die bei Microsoft ausgerechnet auf einer Insel der Glückseligen leben? Natürlich ist auch der Internet Explorer von dem Problem betroffen. Und da der Microsoft-Browser so tief im System verankert ist, ist natürlich Windows auch betroffen. Wer hat etwas anderes erwartet?
Wie es mit dem Internet Explorer aussieht, kann ich nicht mit Bestimmtheit sagen. Ich würde aber davon ausgehen, dass Microsoft auch mit Sicherheitsupdates arbeiten wird.
Ich zitiere mich mal selbst. Das schrieb ich in diesem Artikel. Es war zu der Zeit noch nichts von Microsoft bekannt. Das hat sich ja zwischenzeitlich geändert. Denn Microsoft gab an, dass alle Windows-Versionen ab Windows Vista betroffen sind. Problematisch ist bei diesem Thema die Schnittstelle, die wohl immer wieder für Probleme sorgt, wie ich selbst in meinem Berufsleben mitbekommen habe.
Microsoft wird an einer Lösung arbeiten. Das war mir doch klar. Denen ist die Problematik selbstverständlich bekannt. Und schon haben sie eine Lösung parat, das Problem vorerst zu umgehen. Es wird ein Windows Update geben. Aber erstmal empfehlen sie folgendes:
- Klicken Sie bei Windows Vista / Windows 7 auf Start // bei Windows 8 rufen Sie einfach die Kacheloberfläche auf
- Geben Sie ein: gpedit.msc
- Navigieren Sie im linken Bereich nach Computerkonfiguration -> Administrative Vorlagen -> SSL-Konfigurationseinstellungen
- Öffnen Sie Reihenfolge der SSL-Verschlüsselungssammlungen
- Öffnen Sie dann bitte den Editor (einfach notepad.exe aufrufen)
- Kopieren Sie den Inhalt der unten stehenden Box in das Dokument
- Setzen Sie den Cursor vor jede Zeile und löschen den Zeilenumbruch, sodass eine einzige lange Zeile entsteht
- Markieren Sie den gesamten Inhalt (STRG+A), kopieren ihn und fügen ihn im linken Bereich des Fensters „Reihenfolge der SSL-Verschlüsselungssammlungen“ ein
- Markieren Sie im oberen Bereich des kleinen Fensters „Aktiviert“ und klicken OK
- Zum Übernehmen starten Sie einfach den Computer neu
Und diesen Inhalt sollen Sie laut Microsoft kopieren:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Nach dem Entfernen der Zeilenumbrüche sieht der Text dann wie folgt aus:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Sollten Sie auf Probleme stoßen, dann navigieren Sie einfach wieder an exakt die gleiche Stelle wie oben geschildert und klicken statt auf „Aktiviert“ auf „Deaktiviert“. Nach OK starten Sie einfach nochmal neu.
Ich habe mir das nicht ausgedacht. Das empfiehlt Microsoft. Mal ehrlich: Wenn Microsoft so eine Monster-Anleitung ausspricht, dann muss wirklich die „Kacke am Dampfen“ sein. Aber das sollte an sich klar gewesen sein soll. Mich überrascht nur, dass solche Anleitungen nun kursieren. Also scheint das Problem größer zu sein als bisher geahnt.
Mal zur Einordnung: Es geht um SSL-Verschlüsselung. Es geht um TLS. unter Windows heißt das Schannel, unter Linux mbed TLS, PolarSSL BoringSSL. Cryptlib und dergleichen. Bei Apple, Google und Microsoft hat man zugegeben, dass es da Probleme gibt. Wie sieht es mit den freien Linux-Distributionen aus?
Microsoft wird bald ein Update ausliefern, das automatisch zur Verfügung gestellt wird. Und zwar für alle 3 unterstützten Versionen von Windows ab Windows Vista und für alle 4 unterstützten Server-Systeme ab Windows Server 2008. So lang muss man sich halt behelfen. Problematisch ist eben nur, dass die jetzt – wie Apple und Google – so tun, als ob dieses Problem vom Himmel gefallen ist. In Linux wurde eine Lücke in TLS eingebaut, das fand man heraus. In Windows, Android und MacOS / iOS fand man es jetzt heraus. Nun müssen die jeweiligen Lücken geschlossen werden.
Diese Lücken wurden von Geheimdiensten genutzt. Das habe ich im oben verlinkten Artikel ausgeführt. Die Lücke ist seit den Neunzigern bekannt. Und jetzt schlagen die Firmen wie wild mit den Flügeln? Nun ja. Es gilt weiterhin: „Alles. Jeden. Überall.„
Windows 7 Home Premium hat kein gpedit.msc. Hier muss man manuell den Wert Functions (REG_SZ, Zeichenfolge) unter dem Schlüssel HKEY_LOCAL_MACHINE\SO
FTWARE\Policies\Microsoft\Cryptography\Configuration\SSL0010002 in der Registry anlegen und dort die kommagetrennte Liste ohne Leerzeichen eintragen.
Stimmt, das ignoriert man gern. Aber danke für den Nachtrag.
Hmmm wo ich sonst Systeme hatte wo TSL deaktiviert wurde hatte ich dann einige Problemchen wenn diese Systeme zB Netapps überwachen sollten – Netapp hat noch keinen Fix.
Die ganzen Hersteller tun ja fast so, als ob FREAK vom Himmel gefallen ist. Das ist alles ein ziemliches Trauerspiel. Aber da wird sich doch wohl eine Lösung finden.