Microsoft versucht in seinen Produkten (Windows, Office 365 etc.) die Unterstützung für TLS 1.0/1.1 los zu werden und auf TLS 1.2/1.3 umzustellen. Das Ganze riecht im Moment aber eher nach Problemen und Ärger. Kollateralschädenfrei wird der Umstieg auf TLS 1.2/1.3 wohl nicht ablaufen. Hier ein kleiner Abriss, was mir die letzten Tage so aufgefallen ist.
Anzeige
Hintergrund zum TLS-Thema
Transport Layer Security (TLS) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Historisch wurden verschiedene TLS-Versionen von 1.0 über 1.1 bis zu 1.2 und seit kurzem TLS 1.3 definiert und sind in Benutzung.
Da die Verschlüsselung in TLS 1.0 und 1.1 als nicht mehr sicher gilt, versucht die IT-Industrie schrittweise auf TLS 1.2 und/oder TLS 1.3 für gesicherte Internetverbindungen umzustellen. Ich hatte dies in diversen Blog-Beiträgen erwähnt (siehe Linkliste am Artikelende). Auch Microsoft setzt auf die Ablösung von TLS 1.0/1.1, hat aber erkennbare Schwierigkeiten. Im Juni 2018 gab es diesen Beitrag von The Register, dass die IETF damit begonnen habe, Vorschläge zu machen, dass TLS 1.0/1.1 (auch als Fallback-Lösung) als veraltet (deprecated) einzustufen.
Anmerkung: Allerdings ist das Thema an einigen Stellen ziemlich kaputt. Kürzlich erschien dieser ZDNet-Beitrag, der darauf hinwies, dass zahlreiche Content Management Systeme (CMS) bzw. deren Plugin die Validierung der TLS-Zertifikate deaktivieren. Aber das ist eine andere Baustelle.
Endtermin für TLS 1.0/1.1-Nutzung in Office 365 revidiert
Ich hatte es kurz im Juni 2018 im Blog-Beitrag Ende des TLS 1.0/1.1-Supports in Intune und Office 365 erwähnt. In diesem Technet-Blog-Beitrag gab Microsoft seinerzeit bekannt, dass Intune ab dem 31. Oktober 2018 nur noch TLS 1.2 unterstützt. Auch Microsoft Office 365 kann dann nur noch über eine https-Verschlüsselung mit TLS 1.2 kommunizieren (siehe auch). Für Administratoren in Firmenumgebungen bedeutet dies, dass eine Reihe Geräte und Softwareprodukte ab dem Stichtag 31.10.2018 wegen fehlender TLS 1.2-Unterstützung nicht mehr einsetzbar sind (ich hatte die Geräte im Blog-Beitrag genannt).
Microsoft rudert nun zurück. Ende Oktober 2018 bin ich im Redmond Magazin auf den Beitrag Microsoft Revises October Deadline on Using TLS 1.0 and 1.1 in Office 365 gestoßen. Denen ist der Beitrag Preparing to use TLS 1.2 in Office 365 von Microsoft in die Finger gefallen. Dort präzisiert Microsoft, dass man auch nach dem 31. Oktober 2018 TLS 1.0/1.1 verwenden kann.
As of October 31, 2018, Office 365 will no longer support TLS 1.0 and 1.1. This means that Microsoft will not fix new issues that are found in clients, devices, or services that connect to Office 365 by using TLS 1.0 and 1.1.
Note This doesn't mean Office 365 will block TLS 1.0 and 1.1 connections. There is no official date for disabling or removing TLS 1.0 and 1.1 in the TLS service for customer connections. The eventual deprecation date will be determined by customer telemetry and is not yet known. After a decision is made, there will be an announcement six months in advance unless we become aware of a known compromise, in which case we may have to act in less than six months to protect customers who use the services.
Also eine Korrektur – ließ sich die erste Verlautbarung noch so interpretieren, dass die Unterstützung für TLS 1.0/1.1 ab dem Stichtag aus dem Produkt herausfällt, liest sich das nun anders. TLS 1.0/1.1 werden auch über den 31. Oktober 2018 auf unbestimmte Zeit unterstützt. Aber es gibt keine Weiterentwicklung der Komponenten mehr. Wann TLS 1.2 verpflichtend wird, will Microsoft an Hand seiner Telemetriedaten festlegen und später bekannt geben.
Update KB4462923 erzwingt TLS 1.0
Am 9. Oktober 2018 hat Microsoft das Monthly Rollup Update KB4462923 für Windows 7 SP1 und Windows Server 2008 R2 Service Pack 1 freigegeben. Ich hatte das Update im Blog-Beitrag Patchday: Updates für Windows 7/8.1/Server 9. Okt. 2018 erwähnt. Allerdings gab es wohl einige Schwierigkeiten mit der Installation (siehe Microsoft Patchday-Nachlese (9. Oktober 2018) und Windows: Oktober-Update-Probleme und –Re-Releases). Zeitweilig wurde das Update sogar zurückgezogen und wurde später wieder freigegeben (Windows 7 SP1: Update KB4462923 wieder da). So richtig transparent war das alles nicht, und ich habe persönlich etwas den Überblick verloren, was da in welcher Kombination hakte.
Stutzig machte mich nur ein Kommentar im Blog zum Update-Fehler 0x80242006, wo ein Zusammenhang zwischen Installationsproblemen und TLS-Abhängigkeiten im .NET-Framework angerissen wurden. So richtig schlau wurde ich aus dem Posting nicht (ist mir aber beim Schreiben des Blog-Beitrags wieder eingefallen).
Report: The October Win7 Monthly rollup, KB 4462923, forces TLS 1.0 as the default protocol type, even when TLS 1.0 is disabled. Can you confirm? https://t.co/Zg5ZVWNaFv
— Woody Leonhard (@woodyleonhard) 9. November 2018
Anzeige
Nun berichtet Woody Leonhard auf askwoody, dass das Update KB4462923 für Windows 7 SP1 TLS 1.0 wieder erzwingt. Bei Ihm hat sich ein Leser mit folgendem Hinweis gemeldet:
I'm not sure what others are experiencing but, at my place of employment, KB4462923 appears to have changed the system default crypto security protocol type to TLS 1.0 even when TLS 1.0 is disabled both client-side and server-side in the system registry. Since we have TLS 1.0 disabled on all of our production servers (Windows Server 2008 R2 SP1), KB4462923 was responsible for a plethora of application failures from basic database mail delivery failures to application connectivity failures with Microsoft Azure cloud solutions; most definitely a showstopping bug for our business.
Dem Nutzer ist aufgefallen, dass die eigentlich deaktivierte TLS 1.0-Verschlüsselung nach Installation von KB4462923 in Windows 7 SP1 wieder aktiviert war. Im Thread bei askwoody.com gibt es auch die Diskussion, dass Outlook 2010 seit diesem Update Probleme macht.
In addition, from my experience, @PowerShell_Team demands TLS v1.0 for several Modules including PowershellGet & PowershellManagement.
I have had TLS v1.0 & v1.1 turned off with Powershell being the only App that breaks.
— Crysta T. Lacey (@PhantomofMobile) 10. November 2018
Nutzer @PhantomofMobile hat in obigem Antwort-Tweet darauf hingewiesen, dass das PowerShell-Team TLS 1.0 für verschiedene PS-Module, einschließlich PowershellGet und PowershellManagement voraussetzt.
Irgendwie riecht das für mich alles nach Problemen. Frage: Habt ihr ähnliches beobachtet oder gibt es andere Probleme?
Ähnliche Artikel:
Patchday: Updates für Windows 7/8.1/Server 9. Okt. 2018
Windows 7 SP1: Update KB4462923 wieder da
Windows: Oktober-Update-Probleme und –Re-Releases
Microsoft Patchday-Nachlese (9. Oktober 2018)
Ende des TLS 1.0/1.1-Supports in Intune und Office 365
Webbrowser kicken 2020 den TLS 1.0/1.1-Support
Welche TLS-Versionen verwendet ein Web-Server?
Windows 10 V1803: Update KB4458166 fixt TLS 1.2-Problem
Windows 10 V1803 Rollout bei TLS 1.2-Abhängigkeiten gestoppt
TLS 1.2: Windows Error Reporting Service wirft Fehler
PayPal schreibt ab 30. Juni 2018 TLS 1.2 und HTTP/1.1 vor
2015
Wir nutzen aktuell noch den lieben G DATA Exchange Security.
Da ich den Exchange Blog immer mal im Blick habe und auch dort empfohlen wurde von TLS 1.0 Abstand zu nehmen, habe ich testweise mal unsere Sophos Firewall auf TLS 1.2 umgestellt.
Anschließend konnte ich das G DATA Plugin für den Exchange in die Tonne treten, anfangs lief noch alles ganz gut bis sich das System dann nicht mehr meldete und keine E-Mails mehr transportierte.
Die Deinstallation des Ganzen funktionierte auch nicht mehr fehlerfrei und so war manuelles Aufräumen angesagt. Bei der erneuten Installation kam es dann zu einem nicht nachvollziehbaren Fehler bei dem ich den Support eingeschaltet habe.
Nach knapp 1 Woche Logdateien tauschen und analysieren kam dann raus, dass TLS 1.0 für die Kommunikation nötig ist. Dies soll sich erst 2019 ändern.
Ich meine Microsoft kann gern etwas voraussetzen, aber da hängt noch viel mehr dran bestes Beispiel ist wohl die Umstellung der Druckertreiber auf v3 Pakettreiber die per Monatspatch mal eingeschoben wurde. ;)