Webbrowser kicken 2020 den TLS 1.0/1.1-Support

Alle größeren Browserhersteller (Google, Microsoft, Apple und Mozilla) planen, die Unterstützung von TLS 1.0/1.1 in ihren Browsern im Jahr 2020 auslaufen zu lassen.


Anzeige

TLS 1.0 wird am 19. Januar 2019 ganze 20 Jahre. Aber der Standard zur Transportverschlüsselung ist sicherheitstechnisch in die Jahre gekommen. TLS 1.0 wurde durch die Nachfolger TLS 1.1, TLS 1.2 und aktuell TLS 1.3 ergänzt. Ziel ist es, mit den neueren TLS-Spezifikationen die Sicherheit bei der Verschlüsselung und Authentifizierung zu erhöhen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

TLS-Implementierungen ermöglichen ein Fallback

Bei einer Verbindungsaufnahme des Clients mit dem Server handeln die beiden ‘Partner’ aus, welche TLS-Version beim Protokoll zu verwenden ist. Die aktuellen  TLS-Implementierung in allen gängigen Webbrowsern und Anwendungen ermöglichen ein Downgrade (Fallback) der Transportverschlüsselung während der Verbindungsaufnahme zwischen Client und Server. Dies bietet Angreifern die Möglichkeit, schwächere Protokolle wie TLS 1.0 oder TLS 1.1 zu nutzen, selbst wenn ein Server die neueste TLS-Version unterstützt.

Ein Fallback auf TLS 1.0/1.1 soll verhindert werden

Damit soll jetzt Schluss sein, die Unterstützung für TLS 1.0/1.1 soll in Apples Safari, in Microsofts Edge und Internet Explorer, im Google Chrome sowie im Mozilla Firefox im Jahr 2020 fallen. Das geht aus einer gemeinsamen Pressemitteilung hervor, die Apple, Google, Microsoft und Mozilla veröffentlicht haben.

Microsoft kündigt hier die Absicht an, Transport Layer Security (TLS) 1.0 und 1.1 in den unterstützten Versionen von Microsoft Edge und Internet Explorer 11 im ersten Halbjahr 2020 standardmäßig zu deaktivieren. Apple schreibt, dass die Unterstützung von TLS 1.0 und 1.1 ab März 2020 beendet werde. Gleiches gilt für Mozilla und den Firefox, wobei die Mozilla-Entwickler angeben, dass nur noch 0,1% der Verbindungen mit TLS 1.1 arbeiten. Google will die Unterstützung von TLS 1.0/1.1 ab dem Google Chrome 72 einstellen. Erste Auswirkungen gibt es dann ab Januar 2020 für Benutzer, die Vorabversionen des Chrome verwenden. 


Anzeige
Dieser Beitrag wurde unter Edge, Firefox, Google Chrome, Internet Explorer, Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Webbrowser kicken 2020 den TLS 1.0/1.1-Support

  1. Wolle sagt:

    TLS 1.0 erschien 1999, TLS 1.1 2006 und TLS 1.2 2008. Im Jahre 2016 habe ich mich intensiver mit dem Thema beschäftigt, und festgestellt, dass es nur wenig Software gab, die zwar TLS 1.1 unterstützte, aber nicht TLS 1.2, und das sowohl auf Server, als auch auf Client-Seite. Ich habe dafür die zeitliche Komponente im Verdacht. Entweder die SSL-Bibliotheken sind von vor 2006, oder von nach 2008. Ich habe daraufhin beschlossen, TLS 1.0 und TLS 1.1 gemeinsam zu betrachten, also entweder beides anzubieten, oder beides nicht.

    Erschreckend fand ich, wie wenig Unterstützung von TLS 1.2 in Browsern im Jahr 2016 vorhanden war. Android in den damals noch stark verbreiteten Versionen ICS, Jelly Bean und Kitkat konnten kein TLS 1.2 im jeweiligen Standard-Browser. Ebenso Microsoft Windows 7, da kam das das KB3140245 zum enablen von TLS 1.2 gerade heraus.

    Ich finde es in Ordnung. TLS 1.0/1.1 in einem Jahr in den Browsern abzuschalten. Dann sind die Server auf einem Stand, der älter als zwölf Jahre alt ist. Wer dann in Probleme läuft, kann den Server updaten (notfalls auch über einen Reverse-Proxy), oder eine Spezial-Lösung für den Browser nutzen. Das könnte z.B ein alter Browser sein, der nur für diesen einen Server benutzt wird. Dann kommt man damit auch noch auf alte Drucker, Telefonanlagen, oder was auch immer.

    • Henry Barson sagt:

      > Das könnte z.B ein alter Browser sein, der nur für diesen einen Server benutzt wird. Dann kommt man damit auch noch auf alte Drucker, Telefonanlagen, oder was auch immer.

      Das hat man ja heute schon teilweise, da muss dann für alte https-self-signed-Web-Interfaces der gute alte opera-USB 12.17 herhalten, weil dieser noch ohne große Flickerei SHA-1 Zertifikate öffnet.

      Von der historischen Entwicklung erinnert das Ganze doch stark an IPv6 und da kenne ich immer noc genug, die komplett abschalten, weil sie zu oft in Probleme die IPv6 verschuldet sind, laufen.

    • Karl Wester-Ebbinghaus sagt:

      Danke für die Analyse. Ich schließe mich dem an.

  2. Info sagt:

    Wurde der IE11 bereits durch ein kumulatives Update auf TLS 1.3 gehoben?

    • Hans Thölen sagt:

      Bei mir ist das kumulative Update KB4462949
      für den IE 11 installiert.
      Es werden nur TLS 1.0, TLS 1.1 und TLS 1.2
      im IE 11 angezeigt. TLS 1.3 ist nicht vorhanden.

  3. Werbung

    • Info sagt:

      Danke, erklärt uns dann wohl alles…

      Wenn sie Windows 7 schon nicht tot bekommen dann wenigsten weit vor Support-Ende an der Sicherheit sparen.

  4. Marc sagt:

    Die Volksbanken und Deutsche Bank haben “abgeschalten”, in jedem Fall bezogen auf HBCI/FinTS-Schnittstelle
    weitere Banken werden folgen

    siehe auch: https://www.volksbank-rhein-wehra.de/wir-fuer-sie/aktuelles-regionales/banksache/unterstuetzung-tls-verschluesselung.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.