Die Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 wurden
von der Internet
Engineering Taskforce (IETF) für "deprecated"
bzw. veraltet erklärt. Die beiden Versionen des Transport Layer
Security gelten bereits seit Jahren als unsicher - moderne kryptographische
Algorithmen werden nicht unterstützt. Die verwendeten Hashverfahren
MD5 und SHA-1 sind anfällig für sogenannte Kollisionsattacken.
Weiterhin bringen TLS 1.0 und TLS 1.1 einige Sicherheitslücken
mit: So sind sie etwa anfällig für eine seit 2011 unter
der Bezeichnung BEAST (Browser Exploit Against SSL/TLS) bekannte
Angriffsmethode. Verschlüsselt übertragene Browsercookies
lassen sich dabei in Klartext umwandeln. Auch von der Downgrade-Attacke
FREAK sind beide Protokolle betroffen.
Mit der nun unter RFC
8996 abgelegten Mitteilung erhalten die Protokolle auch dann
keine Updates mehr, wenn schwerwiegende Lücken bekannt werden.
Microsoft
hatte bereits im Herbst 2018 angekündigt, mindestens TLS
1.2 in seinen Browsern einsetzen zu wollen. Auch
Office 365 unterstützt TLS 1.0 und TLS 1.1 seit Herbst
2020 nicht mehr. Weitere Unternehmen, wie Apple, Google und Mozilla
haben die Protokolle im Frühjahr bzw. Sommer 2020 deaktiviert.
Ursprünglich wollten Browser-Hersteller sie sogar schon ab
März 2020 nicht mehr verwenden.
Endanwender sollten aufgrund der langen Vorlaufzeiten keine Änderungen
bemerken. Laut
Qualys SSL Labs setzt die überwiegende Mehrheit aller untersuchten
Webserver auf neuere TLS-Versionen.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|