Ende von TLS 1.0 und TLS 1.1
Das Ende der Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 naht: Ab Anfang 2020 werden große Browser-Entwickler wie Microsoft, Google, Mozilla oder Apple diese TLS-Versionen nicht mehr unterstützen. Die TLS 1.0 und TLS 1.1 gelten mittlerweile als unsicher. Websites, die auf die unsicheren Versionen setzen, werden ab diesem Zeitpunkt nicht mehr über diese Protokolle erreichbar sein.
Warum TLS 1.0 und TLS 1.1 nicht mehr unterstützt werden
Die Version 1.0 und 1.1 des TLS-Protokolls gelten bereits seit geraumer Zeit als unsicher und veraltet. Mit TLS (“Transport Layer Security”) verabschiedete die Internet Engineering Task Force (IETF) einen Standard zum verschlüsselten Seitenabruf via HTTPS. Gemeinhin ist der Begriff “SSL” (“Secure Sockets Layer”) geläufiger. Hierbei handelt es sich um eine mittlerweile ebenfalls veraltete TLS-Version – seit 1999 wird das neuere TLS-Protokoll bereits verwendet.
Client und Server verhandeln beim Aufbau sicherer Verbindungen beim Handshake über das zu verwendende Protokoll und suchen eines, welches von beiden Seiten zum Schutz verwendet werden kann. Sind veraltete Versionen freigegeben, können sich beide Parteien leider auch darauf einigen. Alte Versionen jedoch sind angreifbar und deshalb nicht mehr sicher.
Die beiden veralteten Protokollversionen TLS 1.0 und 1.1 nutzen die nicht minder verstaubten Hash-Verfahren SHA-1 und MD5. Über das Ende von SHA-1 als Hash-Algorithmus berichteten wir seinerzeit ausführlich. Tatsächlich sind diese Verfahren derartig unsicher, dass die IETF derzeit an einem Internet-Draft arbeitet, um den Einsatz von TLS in den Versionen 1.0 und 1.1 zu “untersagen”.
TLS 1.0 & TLS 1.1: Wann endet der Support?
Die großen Browser-Entwickler sind sich einig: Die TLS-Ära der ersten Generationen muss aufgrund der Unsicherheiten enden. Die Unterstützung von TLS 1.0 und 1.1 soll Anfang 2020 enden. Konkret:
- Microsoft Internet Explorer 11 & Edge: Microsoft erklärte, die veralteten TLS-Versionen ab der ersten Hälfte 2020 nicht mehr zu unterstützen.
- Google Chrome: In seinem Security-Blog erklärt der Suchmaschinenriese, dass der hauseigene Browser Chrome momentan etwa 0,5 % aller HTTPS-Verbindungen über die veralteten Protokollversionen aufbaut. In der Anfang 2020 erscheinenden Testversion von Chrome soll damit Schluss sein. Mit der finalen Ausgabe der Chrome-Version 81 wird die Unterstützung endgültig deaktiviert.
- Mozilla Firefox: Auch Mozilla hat sich mit der Thematik befasst und schreibt, dass es in Firefox noch 0,1 % sind, die Websites über TLS 1.1 abrufen. Diese Unterstützung soll ab März 2020 vorbei sein.
- Apple Safari: Im WebKit-Blog verkündet Apple das Aus für die veralteten Versionen ab März 2020. Derzeit werden über Safari rund 0,36 % aller HTTPS-Verbindungen über TLS 1.0 und 1.1 aufgebaut.
Was nun zu tun ist
Was bedeutet dieses Support-Ende für TLS 1.0 und 1.1 nun für Sie? Als Server-Administrator haben Sie die Möglichkeit, festzulegen, welche Protokolle für die Verschlüsselung Sie zum Einrichten sicherer Verbindungen zulassen möchten. Bis spätestens 2020 sollte der Webserver auf mindestens TLS 1.2 umgestellt sein, damit die Websites im Browser abrufbar bleiben.
Neben dem bloßen Umstellen empfiehlt es sich aus Sicherheitsgründen, die Versionen TLS 1.0 und 1.1 komplett zu deaktivieren. Andernfalls wird es Angreifern recht leicht gemacht, betreffende Websites beispielsweise mit einer Downgrade-Attacke ins Visier zu nehmen. Viele erinnern sich vielleicht noch voller Schrecken an Freak; wir berichteten.
Die Nachfolge-Version TLS 1.3 wurde bereits erfolgreich von der IETF als Standard verabschiedet. Modernere Krypto-Algorithmen sollen den Datenverkehr im Web absichern. TLS 1.3 verbietet ältere Algorithmen, die als problematisch oder gar als angreifbar gelten. SHA-1, MD5 oder RC4 sind also in TLS 1.3 Geschichte. Das schließt Downgrade-Angriffe wie eben Freak aus.
Neben einem Plus an Performance für die Web-Verschlüsselung verspricht TLS in der aktuellen Version auch eine optimierte Integritätssicherung von verschlüsselten Daten sowie weniger einsehbare Metadaten. Die Browser-Unterstützung ist bereits weitestgehend gegeben.
Fazit: Ende für veraltete TLS-Versionen
Den veralteten Versionen TLS 1.0 und 1.1 endgültig den Garaus zu machen, ist also äußerst sinnvoll: Zu unsicher sind die Standards mittlerweile. Es gibt sichere Alternativen, die problemlos unterstützt werden.
Übrigens: Die von uns angebotenen SSL-Zertifikate arbeiten problemlos mit allen TLS-Versionen zusammen. Auch wir raten Ihnen dazu, verschlüsselte Verbindungen erst ab der TLS-Version 1.2 zuzulassen. Haben Sie Fragen zum Einrichten oder zu SSL-Zertifikaten, kontaktieren Sie uns unverbindlich – wir haben gerne ein offenes Ohr für Ihre Sicherheitsfragen!
Schreibe einen Kommentar