Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsFirefox 27 bringt mehr Sicherheit durch TLS 1.2
Die heute freigegebene Aktualisierung von Mozillas Browser Firefox auf Version 27 ist ein eher stilles Update: Der Anwender sieht kaum etwas von den Änderungen im Unterbau. Im Hintergrund wurde allerdings mit zwei aktualisierten Protokollen sowohl die Sicherheit als auch die Geschwindigkeit erhöht.
Im Monat Februar des Jahres 2014 des Herrn in DeutscheLand, absoluter Uberfail der ueblichen Verdaechtigen und moechtegern Security Experten allen Orten:
Firefox 27 results:
ssl_error_no_cypher_overlap
mit about:config tls version 1.2 enforced
security.tls.version.max;3
security.tls.version.min;3
@nsm: Gerade ausprobiert. Das ist mal interessant und wirklich verdammt peinlich für die Mozilla Foundation. mozilla.org lüppt nur mit TLS 1.1, also security.tls.version.min 2.
Der absolute No-Go dabei ist dass AMO (addons mozilla org) und auch der Versionscheck bei Mozilla alle auf deren Servern mit niedrigeren TLS Versionen basieren, also ein aktueller Firefox dann im Zweifel absolut nichts mitbekommt von solchen Servern die nur altes TLS sprechen. Mozilla ist eben auch nur eine Klitsche die gerne viel Geld einnimmt und fuer prestigetraechtige Sub-Projekte und Scharmuetzel verwendet, aber wirklich fundamentale Dinge haben sie jetzt Februar 2014 ausgerollt. Selbst das TLS 1.1 haben sie erst jetzt mit Firefox 27 standardmaessig aktiviert, noch in Firefox 26 wollte das Un-Ding von sich aus nur TLS 1.0 sprechen.
Gib about:config in der Adreßleiste ein.
Tippe security.tls in die Filterleiste, es erscheinen zwei Treffer, security.tls.version.max und security.tls.version.min. Die zulässigen Integer-Werte dieser beiden Einträge sind 0, 1, 2 und 3. Erklärung hier.
Setzt man .max auf 3 und .min auf 3, zwingt man den Fuchs damit, ausschließlich TLS 1.2 zu akzeptieren. Probiert man anschließend, mit dieser Einstellung die oben von nms verlinkten Seiten aufzurufen, schlägt das mit der Fehlermeldung ssl_error_no_cypher_overlap fehl. Das wiederum liegt allerdings nicht am Fuchs, sondern an der Config der Servers, also welche TLS-Version dieser mit Clients aushandeln soll.
In dem Zug ist übrigens auch ein Test mit https://www.ssllabs.com/ssltest/ interessant. Probieren kann man das zum Beispiel mit der Seite der eigenen Bank, wenn man Online-Banking nutzt.
Das moderne TLS 1.2 muss auch vom Server unterstützt werden. die Server der mozilla Website tun es nicht.
€: Da war wer schneller. Meine schlechtere Erklärung kann gerne gelöscht werden.
@Lemon with Ice:
Die Mozilla Foundation bewirbt die neueste Version vom Firefox mit erhöhter Sicherheit (TLS1.2), jedoch benötigen/benutzen verschiedene Seiten (nsm nannte ein paar Links), unter Anderen addons.mozilla.org, nicht das aktuellste TLS. Die älteren Versionen gelten gemeinhin als nicht sicher.
Nunja, nun wird hier eben kritisiert, dass Mozilla 'trügerisch' Sicherheit verspricht (der Firefox kann es nun), jedoch an anderen Stellen (Webseiten) die nicht gebotene Sicherheit anbietet bzw. den Firefox so konfiguriert hat, dass dieser weiterhin Verbindungen mit alten/unsicheren Protokollen erlaubt und nutzt.
Dies kannst du unter about:config (dort nach TLS suchen) ändern, indem du den Wert der Variable 'security.tls.version.min' veränderst. Der höchste Wert 3 veranlasst Firefox dazu, nur TLS1.2 zu benutzten.
Afaik stand hier in Firefox 26 für 'security.tls.version.min' noch 0 und für 'security.tls.version.max' noch 2. Ich habe nicht mehr die genauen Erklärungen/Deutungen im Kopf, aber diese waren sehr unsicher (glaube RC4 wurde zum Beispiel akzeptiert).
@DeusoftheWired: Der Link zur Erklärung ist falsch gesetzt.
Bei mir klappt es problemlos wenn der Server das auch unterstützt. Leider wird es aber auch 2014 immer noch bei den meisten namhaften Seiten nicht angeboten -> siehe Post von nsm
Wenn man in der config ist sollte man auch direkt auch die RC4 Verschlüsselung auf "false" stellen...
Hmmm, bei mir steht min 0 und max 3. Was sollte ich denn nun als min Einstellen oder besser doch so lassen. Wie ich das Verstehe bedeutet min 0 das auch auf das alte TLS zurück gegriffen wird.
Ist ja echt ein Witz wenn es so ist, da gaugelt man mir als unwissenden falsche Sicherheit vor. Ganz großes Kino.
@Lemon with Ice
Am besten einfach mal auf 2 setzen. Wenn du ne Webseite hast die die Fehlermeldung "Fehlercode: ssl_error_no_cypher_overlap" ausgibt und du sie aber brauchst auf 1 stellen. Wenn es dann noch immer Seiten gibt die nicht mal diese unterstüzten würd ich sagen: Seite du hast pech gehabt. Ohne mich! Oder sonst halt wieder zurück auf 0 wenns nicht anders geht.
Von ESR 24.2 auf 24.3 per Updatemanager aktualisiert und es lädt keine einzige Seite mehr. Ganz großes Kino....
Jemand, der das Problem mit der ESR-Version bestätigen kann?
Naja, TLS 1.0 ist doch nicht gleich unsicher, nur weils was neues gibt. Das einzige, was mit nem Netbook entschlüsselt werden kann, ist doch, wenn ich nicht ganz in der Vergangenheit lebe, SSL 2 und das ist ja seit Ff 3 oder so deaktiviert.
Den Wert so hoch setzen, dass nur 1.1 aufwärts als sichere Verbindung akzeptiert wird, kann ich ja verstehen, aber warum man jetzt nur das allerneueste 1.2 benutzbar umkonfigurieren soll leuchtet mir nicht ein.
@duudee
Habe gerade über Update-Kanal ESR auf Version 24.3 aktualisiert und es gibt bei mir keine Probleme.
TLS 1.0 ist nicht nur veraltet, sondern hat ein schwerwiegendes Sicherheitsproblem (s. BEAST).
Leider funktioniert auf den meisten Webservern nur TLS 1.0, dadurch ist teilweise Cipher RC4 aktiviert. Dieser Algorithmus ist zwar auch nicht sicher aber immer noch die bessere Alternative.
Firefox 27 bringt dadurch nicht viel mehr Sicherheit auch wenn das Problem bei den Webservern liegt.
TLS 1.0 gilt als unsicher, der der Aufwand der zum knacken nötig ist geringer ist als der mögliche Gewinn. Daher ein Knacken ist wirtschaftlich für alle zwielichtigen Gestalten. Sprich TLS 1.0 ist generell als "unsicher" einzustufen!
Was die Grundkonfiguration von Firefox angeht, wenn man die Sicherheitseinstellungen so umbiegt, dass wirklich nur noch aktuell als sicher geltende Algorithmen zum Einsatz kommen sieht man im WWW sehr schnell sehr alt aus. RC4 war bis vor kurzem beispielsweise bei den Sparkassen pflicht (auch bei anderen Finanzdienstleistern) etc. pp. Mozilla kann als Firma nicht einfach Einstellungen vorgeben, die viele Dienste im Netz für viele Nutzer schlicht unbenutzbar macht. Das Problem teilen aber IE und Chrome aber genauso. Wenn die Server es vorgeben nutzen diese Browser genauso antike Verschlüsselung.
