Alle grossen Browserhersteller wollen 2020 die Unterstützung für Tls.1.0 und Tls.1.1 beenden - Nachfolgeprotokoll Tls.1.2 ist seit 2008 standardisiert

16.10.2018 23:48:29, Jürgen Auer, keine Kommentare

Das Internet entwickelt sich ständig weiter. Technologien gelten bei der Einführung als neu. Dann finden Forscher in älteren Versionen Sicherheitslücken. Und das Ausmustern der alten Versionen beginnt.

Secure Socket Layer (SSL) bzw. das Nachfolgeprotokoll Transport Layer Security (TLS) wird dazu genutzt, die Kommunikation zwischen einem Client (meist ein Browser) und einem Server (bsp. ein Webserver, der Seiten anzeigt) zu verschlüsseln. Begonnen wurde das von Netscape (SSL 1.0, 1994), dann folgten zwei Nachfolger (SSL 2.0 und 3.0). Im Jahr 1999 folgte SSL 3.1, das als Tls.1.0 eine neue Abkürzung erhielt.

Wenn Sie also auf die aktuelle Seite zugreifen, dann nutzen Sie - wahrscheinlich - eine Tls.1.2 - Verschlüsselung.

Nachdem die Vorgängerversionen SSL 2.0 und SSL 3.0 schon 2011 und 2015 als unsicher ausgemustert wurden, kommen nun die beiden Nachfolger Tls.1.0 und Tls.1.1 dran.

Die vier großen Browserhersteller Mozilla / Firefox, Google / Chrome, Microsoft / Edge und Apple / Safari / Webkit haben praktisch gleichzeitig Blogbeiträge veröffentlicht, in denen sie das Ende der Unterstützung dieser beiden Versionen ankündigen.
.

Major browsers simultaneously drop support for old security standards

https://techcrunch.com/2018/10/15/major-browsers-simultaneously-drop-support-for-old-security-standards/

.
Die vier Einzelartikel:

Removing Old Versions of TLS

https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/

Modernizing Transport Security

https://security.googleblog.com/2018/10/modernizing-transport-security.html

Modernizing TLS connections in Microsoft Edge and Internet Explorer 11

https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

Deprecation of Legacy TLS 1.0 and 1.1 Versions

https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

Alle vier Artikel sind vom gestrigen 15.10.2018, so daß das intern wohl abgesprochen wurde.

Der Mozilla-Artikel erwähnt, daß 20 Jahre im Internet eine Ewigkeit seien. Dieses Alter hat Tls.1.0 2019 erreicht. In dieser Zeit hat Tls.1.0 Milliarden oder noch sehr viel mehr Verbindungen geschützt. Es gibt zwar keine akuten Schwächen, die ein sofortiges Handeln erzwingen würden, aber:

> Though we are not aware of specific problems with TLS 1.0 that require immediate action, several aspects of the design are neither as strong or as robust as we would like given the nature of the Internet today. Most importantly, TLS 1.0 does not support modern cryptographic algorithms.

Viele Designaspekte sind nicht so sicher oder so robust, wie man das im heutigen Internet gerne hätte. Ferner unterstützt Tls.1.0 bestimmte moderne Verschlüsselungsalgorithmen nicht.

Tls.1.1 wurde zwar 2006 standardisiert, um einige Probleme von Tls.1.0 zu beheben. Aber das ändert nichts an den grundsätzlichen Punkten. So daß Tls.1.1 gleichzeitig (März 2020) rausfliegt.

Die Telemetriedaten von Firefox zeigen, daß Tls.1.0 nur noch von 1,11 % aller Verbindungen genutzt werden. Tls.1.1 wird grade mal von 0,09 % genutzt. Tls.1.2 liegt dagegen bei 93,12 %, der Nachfolger Tls.1.3 bei 5,68 %.

Tls.1.3 bringt diverse Neuerungen mit und kann Verbindungen gegenüber Tls.1.2 deutlich beschleunigen. U.a., weil es HTTP/2 unterstützt.

Der Google-Artikel berichtet von einem Gesamtanteil von 0,5 % aller Verbindungen, die Tls.1.0 oder Tls.1.1 nutzen. Da wird darauf verwiesen, daß Tls.1.0 noch auf MD5 und SHA1 basiert, beide kryptographische Techniken gelten inzwischen als unsicher. Bei Chrome soll es ab der Version 72 Hinweise in der Console geben. Der Rausschmiß erfolgt ab Chrome 81, das wird ab Januar 2020 verteilt.

Microsoft berichtet ebenfalls von einem Anteil von weniger als 1 %, der auf die beiden älteren Versionen entfällt. 0,72 % sind das gegenüber 99,28 %, die auf Tls.1.2 entfallen. Tls.1.3 wird von Edge noch nicht unterstützt. Microsoft wird die Unterstützung der beiden alten Versionen im ersten Halbjahr 2020 beenden.

Safari-Nutzer verwenden noch zu 0,36 % die beiden alten Protokolle, 99,6 % entfällt auf Tls.1.2. Da wird die Unterstützung im März 2020 eingestellt.

Man kann bereits jetzt in diversen Browsern die Unterstützung von Tls.1.0 und 1.1 abschalten. Teils erklären dies die Artikel.

Ferner gibt es bereits jetzt diverse Websites, welche Tls.1.0 und Tls.1.1 nicht mehr unterstützen. Auf dem hiesigen Blog (und innerhalb von Server-Daten) sind Tls.1.0 und 1.1 derzeit noch aktiv. Etwas ist mir derzeit noch das Risiko zu hoch, daß ich bsp. XP-Nutzer aussperre.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.