Im Falle aller Sicherheitstechnologien gibt es Versuche, sie zu knacken oder zu umgehen. Auch beim SSL-Protokoll wurden mehrfach Schwachstellen gesucht. Zusammen mit neuen Bedrohungen entstehen fortlaufend weitere, wirksame Sammlungen von Algorithmen und Sicherheitsmaßnahmen. Es ist jedoch ratsam, zu wissen, welche Arten von Angriffen auf das SSL-Protokoll gerichtet sein können und wie man sich davor schützen kann.
Poodle
Poodle (Padding Oracle On Downgraded Legacy Encryption) trat im Oktober 2014 auf. Bei dieser Form des Angriffs werden Server ausgenutzt, die SSL in Version 3.0 verwenden, um die Kompatibilität mit älteren Systemen sicherzustellen. Ziel des Angreifers ist es, sich zwischen Server und Opfer zu positionieren und anschließend die Verbindung auf SSL 3.0 herabzustufen. Die im Cipher-Block-Chaining-Modus (CBC) bestehende Sicherheitslücke ermöglicht die Verwendung eines Blockchiffrierverfahrens zur Verschlüsselung von nahezu unbegrenzt langen Inhalten. Die Ausgabedaten müssen jedoch in ihrer Gesamtheit ein Vielfaches der Blockgröße sein und aus miteinander verbundenen Feldern bestehen. Neben dem Klartext und den zum Auffüllen benötigten Bytes betrifft dies auch die Padding-Bytes sowie den MAC-Schlüssel (Message Authentication Code). Letzterer wird auf Basis des Klartexts berechnet und schließt zusätzliche Informationen ein, etwa die Sequenznummer der Nachricht.
SSL Stripping
Die Technik des SSL Stripping stuft die per SSL-Zertifikat gesicherte HTTPS-Verbindung auf gewöhnliches HTTP herab. Auch bei dieser Angriffsform hängt der Erfolg davon ab, den Netzwerkverkehr des Opfers abfangen zu können. Dieser kann vollständig über den Computer des Angreifers geleitet werden, der zusätzlich als Proxy-Server fungiert. So wird ein Zertifikatsfehler erzeugt und zugleich der abgefangene Datenverkehr verschlüsselt. Gibt man beispielsweise in der Adressleiste eine Bankseite ein, wartet auf die Antwort des Servers nicht nur der Benutzer, sondern auch die mit dem Browser verbundene Maschine des Angreifers. Die Anfrage des Opfers wird vom Angreifer weitergeleitet, wobei die Bank die Verbindung als sicher erkennt. Der Server antwortet mit einer HTTPS-Anmeldeseite, die der Angreifer jedoch auf das HTTP-Protokoll abändert. Ab diesem Moment werden die Anfragen des Opfers im Klartext übertragen, wodurch der Angreifer sämtliche Zugangsdaten einsehen kann. In der Browseranzeige erscheinen keine Fehler, sodass der Benutzer nichts von dem Angriff merkt. Allerdings lässt sich SSL Stripping relativ leicht erkennen – es genügt, festzustellen, dass die Verbindung zur vertrauenswürdigen Webseite nicht mehr verschlüsselt ist.
Freak
Die Vorschriften für den Export komplexer kryptographischer Systeme wurden bereits in den 1990er-Jahren von der US-Regierung festgelegt. Sie erlaubten die Festlegung einer Obergrenze für die Stärke des RSA-Schlüssels, die bei allen exportierten SSL-Implementierungen maximal 512 Bit betrug. Diese Regelungen wurden jedoch im Jahr 2000 aufgehoben – seitdem können Browser sicherere SSL-Zertifikate verwenden. Erst 2015 wurde entdeckt, dass alte Versionen der Verschlüsselung immer noch genutzt werden können. Server, die diese unterstützen, sind für Angriffe anfällig, bei denen die Verbindung auf deutlich schwächere Algorithmen herabgestuft wird. Heute erlaubt die Rechenleistung moderner Computer das Brechen solcher Schlüssel innerhalb weniger Stunden. Seit dem Wegfall der Exportbeschränkungen sind zwar viele Jahre vergangen, doch selbst nach der Aufdeckung der Schwachstelle unterstützten immer noch rund 10 % der eine Million am häufigsten besuchten Websites den Einsatz von Export-Verschlüsselungen. Um sich vor einem Freak-Angriff zu schützen, sollte man daher die neueste Version des SSL-Protokolls verwenden. Die Bedrohungserkennung muss jedoch in der gesamten Infrastruktur der zu sichernden Dienste erfolgen.