Abo
  • IT-Karriere:

HTTPS: Browser wollen alte TLS-Versionen 2020 abschalten

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Artikel veröffentlicht am , Hanno Böck
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden.
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden. (Bild: Leon Brooks / Wikimedia Commons)

Die alten TLS-Versionen 1.0 und 1.1 sollen ab dem Jahr 2020 aus dem Web verschwinden. Das kündigten die Hersteller aller großen Browser - Mozilla, Microsoft, Google und Apple - in einer offenbar abgesprochenen Aktion an. Ab Anfang 2020 müssen Webseitenbetreiber daher damit rechnen, dass ihre Webseiten nicht mehr funktionieren, wenn sie TLS 1.2 noch nicht unterstützen.

Stellenmarkt
  1. BWI GmbH, Nürnberg, Pfungstadt, Rheinbach
  2. Techniker Krankenkasse, Hamburg

TLS 1.0 wurde im Jahr 1999 veröffentlicht, der Nachfolger 1.1 im Jahr 2006. Dessen Nachfolger TLS 1.2 wurde bereits zwei Jahre später - 2008 veröffentlicht. Doch lange Zeit wurden die neueren Protokollversionen kaum genutzt. Google Chrome etwa unterstützt TLS 1.2 erst seit 2013, Mozilla erst seit 2014.

Die Browser sind mit ihren Plänen nicht allein. Bei der IETF liegt ein Entwurf für einen Standard vor, der die Abschaltung von TLS 1.0 und 1.1 besiegeln soll.

Weniger als zwei Prozent nutzen TLS 1.0 und 1.1

Inzwischen hat sich TLS 1.2 weitgehend durchgesetzt. Nach Zahlen, die Mozilla im Rahmen der Ankündigung veröffentlichte, nutzen 93 Prozent TLS 1.2, 5 Prozent nutzen schon die neue Version 1.3. Nur noch 1,1 Prozent der Verbindungen nutzen TLS 1.0, und TLS 1.1 ist mit 0,09 Prozent praktisch jetzt schon irrelevant.

Die Masse der Webseiten unterstützt also längst neuere Protokolle, doch ganz reibungslos wird die Umstellung wohl trotzdem nicht ablaufen. So dürften die verbleibenden Verbindungen nicht wenige Geräte betreffen, für die es keine Updates mehr gibt.

Dass die Browser diese Aktion gemeinsam ankündigen, dürfte den Hintergrund haben, dass es in der Vergangenheit bei der Abschaffung von veralteten Technologien oft Sorgen gab, dass einzelne Browser Nutzer verlieren könnten, wenn sie damit voranpreschten.

Sicherheitsrisiken in TLS 1.0 und 1.1? Nicht viele.

Es gab in den vergangenen Jahren viele Sicherheitslücken, die das TLS-Protokoll selbst betrachten. Allerdings ist der Unterschied zwischen TLS 1.0/1.1 auf der einen und TLS 1.2 auf der anderen Seite nicht sehr groß.

Der Beast-Angriff betrifft den CBC-Verschlüsselungsmodus in TLS 1.0, eine Gegenmaßnahme wurde in TLS 1.1 implementiert. Doch auch für TLS 1.0 können Browser Schutzmaßnahmen gegen Beast implementieren und die großen Browser haben das alle getan.

Weiterhin nutzen TLS 1.0 und 1.1 immer schwache Hashfunktionen wie MD5 und SHA1. Damit ist der sogenannte Sloth-Angriff möglich. Doch sowohl Beast als auch Sloth sind eher theoretische Angriffe, die in der Praxis kaum durchgeführt werden können. Zudem gilt: Auch in TLS 1.2 kann man schwache Hashfunktionen nutzen, es gibt allerdings optional Unterstützung für das sichere SHA-2.

Viele Angriffe auch in TLS 1.2 möglich

Die meisten Angriffe, die es gegen das TLS-Protokoll gab, betreffen TLS 1.2 ebenso. Ob man verwundbar ist, hängt vielmehr davon ab, welche Verschlüsselungsalgorithmen gentutz werden. So betrifft der Lucky-Thirteen-Angriff etwa alle Verbindungen im CBC-Modus, der ROBOT-Angriff nutzt Schwächen in der RSA-Verschlüsselung. Beide sind in TLS 1.2 immer noch erlaubt. Erst TLS 1.3 entfernt alle diese problematischen Algorithmen.

In der Ankündigung von Google wird bereits angedeutet, dass eine Abschaffung schwacher Verschlüsselungsmodi ebenfalls angedacht ist. So empfiehlt Google Webseitenbetreibern, bei Handshake-Signaturen immer SHA-2 zu nutzen, authentifizierte Verschlüsselungsmodi wie GCM und Poly1305 einzusetzen und einen Schlüsselaustausch mit elliptischen Kurven zu unterstützen.



Anzeige
Spiele-Angebote
  1. (-79%) 3,20€
  2. 4,99€
  3. (-68%) 9,50€

Folgen Sie uns
       


Bose Frames im Test

Die Sonnenbrille Frames von Bose hat integrierte Lautsprecher, die den Träger mit Musik beschallen können. Besonders im Straßenverkehr ist das offene Konzept praktisch.

Bose Frames im Test Video aufrufen
Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
    Ricoh GR III im Test
    Kompaktkamera mit Riesensensor, aber ohne Zoom

    Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
    Ein Test von Andreas Donath

    1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
    2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

      •  /