HTTPS: Browser wollen alte TLS-Versionen 2020 abschalten

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Artikel veröffentlicht am , Hanno Böck
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden.
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden. (Bild: Leon Brooks / Wikimedia Commons)

Die alten TLS-Versionen 1.0 und 1.1 sollen ab dem Jahr 2020 aus dem Web verschwinden. Das kündigten die Hersteller aller großen Browser - Mozilla, Microsoft, Google und Apple - in einer offenbar abgesprochenen Aktion an. Ab Anfang 2020 müssen Webseitenbetreiber daher damit rechnen, dass ihre Webseiten nicht mehr funktionieren, wenn sie TLS 1.2 noch nicht unterstützen.

Stellenmarkt
  1. M365 Senior Administrator (m/w/d)
    Radeberger Gruppe KG, verschiedene Standorte
  2. Spezialist (m/w/d) Anforderungs- und Problemmanagement sowie Testkoordination
    Bayerische Versorgungskammer, München
Detailsuche

TLS 1.0 wurde im Jahr 1999 veröffentlicht, der Nachfolger 1.1 im Jahr 2006. Dessen Nachfolger TLS 1.2 wurde bereits zwei Jahre später - 2008 veröffentlicht. Doch lange Zeit wurden die neueren Protokollversionen kaum genutzt. Google Chrome etwa unterstützt TLS 1.2 erst seit 2013, Mozilla erst seit 2014.

Die Browser sind mit ihren Plänen nicht allein. Bei der IETF liegt ein Entwurf für einen Standard vor, der die Abschaltung von TLS 1.0 und 1.1 besiegeln soll.

Weniger als zwei Prozent nutzen TLS 1.0 und 1.1

Inzwischen hat sich TLS 1.2 weitgehend durchgesetzt. Nach Zahlen, die Mozilla im Rahmen der Ankündigung veröffentlichte, nutzen 93 Prozent TLS 1.2, 5 Prozent nutzen schon die neue Version 1.3. Nur noch 1,1 Prozent der Verbindungen nutzen TLS 1.0, und TLS 1.1 ist mit 0,09 Prozent praktisch jetzt schon irrelevant.

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    17.–21. Januar 2022, virtuell
Weitere IT-Trainings

Die Masse der Webseiten unterstützt also längst neuere Protokolle, doch ganz reibungslos wird die Umstellung wohl trotzdem nicht ablaufen. So dürften die verbleibenden Verbindungen nicht wenige Geräte betreffen, für die es keine Updates mehr gibt.

Dass die Browser diese Aktion gemeinsam ankündigen, dürfte den Hintergrund haben, dass es in der Vergangenheit bei der Abschaffung von veralteten Technologien oft Sorgen gab, dass einzelne Browser Nutzer verlieren könnten, wenn sie damit voranpreschten.

Sicherheitsrisiken in TLS 1.0 und 1.1? Nicht viele.

Es gab in den vergangenen Jahren viele Sicherheitslücken, die das TLS-Protokoll selbst betrachten. Allerdings ist der Unterschied zwischen TLS 1.0/1.1 auf der einen und TLS 1.2 auf der anderen Seite nicht sehr groß.

Der Beast-Angriff betrifft den CBC-Verschlüsselungsmodus in TLS 1.0, eine Gegenmaßnahme wurde in TLS 1.1 implementiert. Doch auch für TLS 1.0 können Browser Schutzmaßnahmen gegen Beast implementieren und die großen Browser haben das alle getan.

Weiterhin nutzen TLS 1.0 und 1.1 immer schwache Hashfunktionen wie MD5 und SHA1. Damit ist der sogenannte Sloth-Angriff möglich. Doch sowohl Beast als auch Sloth sind eher theoretische Angriffe, die in der Praxis kaum durchgeführt werden können. Zudem gilt: Auch in TLS 1.2 kann man schwache Hashfunktionen nutzen, es gibt allerdings optional Unterstützung für das sichere SHA-2.

Viele Angriffe auch in TLS 1.2 möglich

Die meisten Angriffe, die es gegen das TLS-Protokoll gab, betreffen TLS 1.2 ebenso. Ob man verwundbar ist, hängt vielmehr davon ab, welche Verschlüsselungsalgorithmen gentutz werden. So betrifft der Lucky-Thirteen-Angriff etwa alle Verbindungen im CBC-Modus, der ROBOT-Angriff nutzt Schwächen in der RSA-Verschlüsselung. Beide sind in TLS 1.2 immer noch erlaubt. Erst TLS 1.3 entfernt alle diese problematischen Algorithmen.

In der Ankündigung von Google wird bereits angedeutet, dass eine Abschaffung schwacher Verschlüsselungsmodi ebenfalls angedacht ist. So empfiehlt Google Webseitenbetreibern, bei Handshake-Signaturen immer SHA-2 zu nutzen, authentifizierte Verschlüsselungsmodi wie GCM und Poly1305 einzusetzen und einen Schlüsselaustausch mit elliptischen Kurven zu unterstützen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Ist eine scheinexistente Behörde für Wikipedia relevant?

Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
Artikel
  1. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

  2. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

  3. Neues Geschäftsmodell: Luca-App plant flexible Abos und will Preise senken
    Neues Geschäftsmodell
    Luca-App plant flexible Abos und will Preise senken

    Angesichts drohender Kündigungen will die Luca-App den Bundesländern entgegenkommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /