HTTPS: Browser wollen alte TLS-Versionen 2020 abschalten

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Artikel veröffentlicht am , Hanno Böck
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden.
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden. (Bild: Leon Brooks / Wikimedia Commons)

Die alten TLS-Versionen 1.0 und 1.1 sollen ab dem Jahr 2020 aus dem Web verschwinden. Das kündigten die Hersteller aller großen Browser - Mozilla, Microsoft, Google und Apple - in einer offenbar abgesprochenen Aktion an. Ab Anfang 2020 müssen Webseitenbetreiber daher damit rechnen, dass ihre Webseiten nicht mehr funktionieren, wenn sie TLS 1.2 noch nicht unterstützen.

TLS 1.0 wurde im Jahr 1999 veröffentlicht, der Nachfolger 1.1 im Jahr 2006. Dessen Nachfolger TLS 1.2 wurde bereits zwei Jahre später - 2008 veröffentlicht. Doch lange Zeit wurden die neueren Protokollversionen kaum genutzt. Google Chrome etwa unterstützt TLS 1.2 erst seit 2013, Mozilla erst seit 2014.

Die Browser sind mit ihren Plänen nicht allein. Bei der IETF liegt ein Entwurf für einen Standard vor, der die Abschaltung von TLS 1.0 und 1.1 besiegeln soll.

Weniger als zwei Prozent nutzen TLS 1.0 und 1.1

Inzwischen hat sich TLS 1.2 weitgehend durchgesetzt. Nach Zahlen, die Mozilla im Rahmen der Ankündigung veröffentlichte, nutzen 93 Prozent TLS 1.2, 5 Prozent nutzen schon die neue Version 1.3. Nur noch 1,1 Prozent der Verbindungen nutzen TLS 1.0, und TLS 1.1 ist mit 0,09 Prozent praktisch jetzt schon irrelevant.

Die Masse der Webseiten unterstützt also längst neuere Protokolle, doch ganz reibungslos wird die Umstellung wohl trotzdem nicht ablaufen. So dürften die verbleibenden Verbindungen nicht wenige Geräte betreffen, für die es keine Updates mehr gibt.

Dass die Browser diese Aktion gemeinsam ankündigen, dürfte den Hintergrund haben, dass es in der Vergangenheit bei der Abschaffung von veralteten Technologien oft Sorgen gab, dass einzelne Browser Nutzer verlieren könnten, wenn sie damit voranpreschten.

Sicherheitsrisiken in TLS 1.0 und 1.1? Nicht viele.

Es gab in den vergangenen Jahren viele Sicherheitslücken, die das TLS-Protokoll selbst betrachten. Allerdings ist der Unterschied zwischen TLS 1.0/1.1 auf der einen und TLS 1.2 auf der anderen Seite nicht sehr groß.

Der Beast-Angriff betrifft den CBC-Verschlüsselungsmodus in TLS 1.0, eine Gegenmaßnahme wurde in TLS 1.1 implementiert. Doch auch für TLS 1.0 können Browser Schutzmaßnahmen gegen Beast implementieren und die großen Browser haben das alle getan.

Weiterhin nutzen TLS 1.0 und 1.1 immer schwache Hashfunktionen wie MD5 und SHA1. Damit ist der sogenannte Sloth-Angriff möglich. Doch sowohl Beast als auch Sloth sind eher theoretische Angriffe, die in der Praxis kaum durchgeführt werden können. Zudem gilt: Auch in TLS 1.2 kann man schwache Hashfunktionen nutzen, es gibt allerdings optional Unterstützung für das sichere SHA-2.

Viele Angriffe auch in TLS 1.2 möglich

Die meisten Angriffe, die es gegen das TLS-Protokoll gab, betreffen TLS 1.2 ebenso. Ob man verwundbar ist, hängt vielmehr davon ab, welche Verschlüsselungsalgorithmen gentutz werden. So betrifft der Lucky-Thirteen-Angriff etwa alle Verbindungen im CBC-Modus, der ROBOT-Angriff nutzt Schwächen in der RSA-Verschlüsselung. Beide sind in TLS 1.2 immer noch erlaubt. Erst TLS 1.3 entfernt alle diese problematischen Algorithmen.

In der Ankündigung von Google wird bereits angedeutet, dass eine Abschaffung schwacher Verschlüsselungsmodi ebenfalls angedacht ist. So empfiehlt Google Webseitenbetreibern, bei Handshake-Signaturen immer SHA-2 zu nutzen, authentifizierte Verschlüsselungsmodi wie GCM und Poly1305 einzusetzen und einen Schlüsselaustausch mit elliptischen Kurven zu unterstützen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streaming
Netflix droht bei unerlaubtem Kontensharing mit Sperrung

Abonnenten von Netflix müssen sich in Deutschland darauf einstellen, dass das Konto gesperrt wird, falls es unerlaubt mit anderen geteilt wird.

Streaming: Netflix droht bei unerlaubtem Kontensharing mit Sperrung
Artikel
  1. Ubisoft: In The Crew Motorfest sausen Rennspielfans über Hawaii
    Ubisoft
    In The Crew Motorfest sausen Rennspielfans über Hawaii

    Straßenrennen in Honolulu, im Regenwald und auf Bergstraßen: Ubisoft hat den dritten Teil der Rennspielserie The Crew vorgestellt.

  2. Historischer Einbruch erwartet: Halbleiterbranche steht vor schwierigen Zeiten
    Historischer Einbruch erwartet
    Halbleiterbranche steht vor schwierigen Zeiten

    Schlimmer als während der Finanzkrise und Dotcom-Blase: Analysten rechnen mit einem tiefem Einbruch der Halbleiterbranche.

  3. Militär: China gelingt Durchbruch bei Abwehr von Hyperschallraketen
    Militär
    China gelingt Durchbruch bei Abwehr von Hyperschallraketen

    Das Shanghai Institute of Mechanical and Electrical Engineering hat einen Durchbruch bei der Erforschung eines Abwehrsystems für Hyperschallwaffen erzielt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD CPU kaufen, SW Jedi Survivor gratis dazu • Philips LED TV 65" 120 Hz Ambilight 999€ • KF DDR4-3600 32GB 91,89€ • Asus Mainboard 279€ • Bosch Prof. bis -55% • PCGH Cyber Week • Acer Predator 32" WQHD 170Hz 529€ • Philips Hue bis -50% • Asus Gaming-Laptops bis -25% [Werbung]
    •  /