Abo
  • IT-Karriere:

HTTPS: Browser wollen alte TLS-Versionen 2020 abschalten

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Artikel veröffentlicht am , Hanno Böck
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden.
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden. (Bild: Leon Brooks / Wikimedia Commons)

Die alten TLS-Versionen 1.0 und 1.1 sollen ab dem Jahr 2020 aus dem Web verschwinden. Das kündigten die Hersteller aller großen Browser - Mozilla, Microsoft, Google und Apple - in einer offenbar abgesprochenen Aktion an. Ab Anfang 2020 müssen Webseitenbetreiber daher damit rechnen, dass ihre Webseiten nicht mehr funktionieren, wenn sie TLS 1.2 noch nicht unterstützen.

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Compana Software GmbH, Feucht

TLS 1.0 wurde im Jahr 1999 veröffentlicht, der Nachfolger 1.1 im Jahr 2006. Dessen Nachfolger TLS 1.2 wurde bereits zwei Jahre später - 2008 veröffentlicht. Doch lange Zeit wurden die neueren Protokollversionen kaum genutzt. Google Chrome etwa unterstützt TLS 1.2 erst seit 2013, Mozilla erst seit 2014.

Die Browser sind mit ihren Plänen nicht allein. Bei der IETF liegt ein Entwurf für einen Standard vor, der die Abschaltung von TLS 1.0 und 1.1 besiegeln soll.

Weniger als zwei Prozent nutzen TLS 1.0 und 1.1

Inzwischen hat sich TLS 1.2 weitgehend durchgesetzt. Nach Zahlen, die Mozilla im Rahmen der Ankündigung veröffentlichte, nutzen 93 Prozent TLS 1.2, 5 Prozent nutzen schon die neue Version 1.3. Nur noch 1,1 Prozent der Verbindungen nutzen TLS 1.0, und TLS 1.1 ist mit 0,09 Prozent praktisch jetzt schon irrelevant.

Die Masse der Webseiten unterstützt also längst neuere Protokolle, doch ganz reibungslos wird die Umstellung wohl trotzdem nicht ablaufen. So dürften die verbleibenden Verbindungen nicht wenige Geräte betreffen, für die es keine Updates mehr gibt.

Dass die Browser diese Aktion gemeinsam ankündigen, dürfte den Hintergrund haben, dass es in der Vergangenheit bei der Abschaffung von veralteten Technologien oft Sorgen gab, dass einzelne Browser Nutzer verlieren könnten, wenn sie damit voranpreschten.

Sicherheitsrisiken in TLS 1.0 und 1.1? Nicht viele.

Es gab in den vergangenen Jahren viele Sicherheitslücken, die das TLS-Protokoll selbst betrachten. Allerdings ist der Unterschied zwischen TLS 1.0/1.1 auf der einen und TLS 1.2 auf der anderen Seite nicht sehr groß.

Der Beast-Angriff betrifft den CBC-Verschlüsselungsmodus in TLS 1.0, eine Gegenmaßnahme wurde in TLS 1.1 implementiert. Doch auch für TLS 1.0 können Browser Schutzmaßnahmen gegen Beast implementieren und die großen Browser haben das alle getan.

Weiterhin nutzen TLS 1.0 und 1.1 immer schwache Hashfunktionen wie MD5 und SHA1. Damit ist der sogenannte Sloth-Angriff möglich. Doch sowohl Beast als auch Sloth sind eher theoretische Angriffe, die in der Praxis kaum durchgeführt werden können. Zudem gilt: Auch in TLS 1.2 kann man schwache Hashfunktionen nutzen, es gibt allerdings optional Unterstützung für das sichere SHA-2.

Viele Angriffe auch in TLS 1.2 möglich

Die meisten Angriffe, die es gegen das TLS-Protokoll gab, betreffen TLS 1.2 ebenso. Ob man verwundbar ist, hängt vielmehr davon ab, welche Verschlüsselungsalgorithmen gentutz werden. So betrifft der Lucky-Thirteen-Angriff etwa alle Verbindungen im CBC-Modus, der ROBOT-Angriff nutzt Schwächen in der RSA-Verschlüsselung. Beide sind in TLS 1.2 immer noch erlaubt. Erst TLS 1.3 entfernt alle diese problematischen Algorithmen.

In der Ankündigung von Google wird bereits angedeutet, dass eine Abschaffung schwacher Verschlüsselungsmodi ebenfalls angedacht ist. So empfiehlt Google Webseitenbetreibern, bei Handshake-Signaturen immer SHA-2 zu nutzen, authentifizierte Verschlüsselungsmodi wie GCM und Poly1305 einzusetzen und einen Schlüsselaustausch mit elliptischen Kurven zu unterstützen.



Anzeige
Top-Angebote
  1. 139€
  2. (u. a. AMD Ryzen + ASUS-X570-Mainboard kaufen und bis zu 125€ sparen)
  3. (u. a. Hunt Showdown für 29,99€, Forza Motorsport 7 für 28,49€ und Hitman 2 für 14,49€)
  4. (heute u. a. Xbox One Bundles mit FIFA 20)

Folgen Sie uns
       


FX Tec Pro 1 - Hands on

Das Pro 1 von FX Tec ist ein Smartphone mit eingebauter Hardware-Tastatur. Der Slide-Mechanismus macht im ersten Kurztest von Golem.de einen sehr guten Eindruck.

FX Tec Pro 1 - Hands on Video aufrufen
Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

IAA 2019: PS-Wahn statt Visionen
IAA 2019
PS-Wahn statt Visionen

IAA 2019 Alle Autobosse bekennen sich auf der IAA zur Nachhaltigkeit, doch auf den Ständen findet man weiterhin viele große, spritfressende Modelle. Dabei stellt sich die grundsätzliche Frage: Ist das Konzept der Automesse noch zeitgemäß?
Eine Analyse von Dirk Kunde


      •  /