Vor Kurzem las ich über SSL-Probleme, die Ende 2011 bzw. im September 2012 aufkamen unter den Namen BEAST (Browser Exploit Against SSL/TLS) und CRIME (Compression Ratio Info-leak Made Easy). Beide Angriffe sind dazu in der Lage, aus dem eigentlich verschlüsselten Datenstrom zum Beispiel die Session-Cookies auszulesen, womit der Angreifer dann automatisch im Account des Benutzers eingeloggt ist und seine Daten stehlen oder das Passwort ändern kann.
Um eine kurze Übersicht zu erstellen wie es bei den bekannten Mailprovidern aussieht habe ich die unten stehende Tabelle erstellt. Mit Hilfe der Webseite ssllabs.com konnte ich sehr einfach überprüfen ob ein Provider anfällig ist. Stand der Tabelle ist der 23.10.2012 (sortiert nach Punkten):
| Anbieter | URL der Testseite | BEAST | CRIME | SSLLabs Punkte | Anmerkung |
|---|---|---|---|---|---|
| GoogleMail | Webseite | sicher | sicher | 87 | |
| mail.de | Webseite | sicher | sicher | 87 | |
| web.de | Webseite | anfällig | anfällig | 85 | |
| GMX | Webseite | anfällig | anfällig | 85 | |
| Arcor | Webseite | anfällig | sicher | 66 | Schwache Verschlüsselungen, anfälliges SSL 2.0, und: Long handshake intolerance TLS extension intolerance |
| Freenet | Webseite | anfällig | anfällig | 61 | Nicht nur anfällig gegen BEAST und CRIME, sondern zusätzlich: This server is vulnerable to MITM attacks because it supports insecure renegotiation. This server is easier to attack via DoS because it supports client-initiated renegotiation. |
| T-Online | Webseite | anfällig | sicher | 52 | Nur 52 Punkte, schlechtestes Ergebnis Schwache Verschlüsselungen, anfälliges SSL 2.0 Secure Renegotiation Not supported |
Nur Googlemail und mail.de können sich tadellos präsentieren, alle anderen haben Sicherheitsprobleme, die teilweise gravierend sind. Da sollte dringend nachgebessert werden, gerade Provider die von mehreren Millionen Personen genutzt werden sollten auf ihre Sicherheit und die ihrer Kunden achten.
Hier die Screenshots mit dem aktuellen Stand:
