Die Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 wurden von der Internet Engineering Taskforce (IETF) für "deprecated" bzw. veraltet erklärt. Die beiden Versionen des Transport Layer Security gelten bereits seit Jahren als unsicher - moderne kryptographische Algorithmen werden nicht unterstützt. Die verwendeten Hashverfahren MD5 und SHA-1 sind anfällig für sogenannte Kollisionsattacken.

Weiterhin bringen TLS 1.0 und TLS 1.1 einige Sicherheitslücken mit: So sind sie etwa anfällig für eine seit 2011 unter der Bezeichnung BEAST (Browser Exploit Against SSL/TLS) bekannte Angriffsmethode. Verschlüsselt übertragene Browsercookies lassen sich dabei in Klartext umwandeln. Auch von der Downgrade-Attacke FREAK sind beide Protokolle betroffen.

Mit der nun unter RFC 8996 abgelegten Mitteilung erhalten die Protokolle auch dann keine Updates mehr, wenn schwerwiegende Lücken bekannt werden. Microsoft hatte bereits im Herbst 2018 angekündigt, mindestens TLS 1.2 in seinen Browsern einsetzen zu wollen. Auch Office 365 unterstützt TLS 1.0 und TLS 1.1 seit Herbst 2020 nicht mehr. Weitere Unternehmen, wie Apple, Google und Mozilla haben die Protokolle im Frühjahr bzw. Sommer 2020 deaktiviert. Ursprünglich wollten Browser-Hersteller sie sogar schon ab März 2020 nicht mehr verwenden.

Endanwender sollten aufgrund der langen Vorlaufzeiten keine Änderungen bemerken. Laut Qualys SSL Labs setzt die überwiegende Mehrheit aller untersuchten Webserver auf neuere TLS-Versionen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE