Abo
  • Services:

HTTPS: Browser wollen alte TLS-Versionen 2020 abschalten

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Artikel veröffentlicht am , Hanno Böck
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden.
So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden. (Bild: Leon Brooks / Wikimedia Commons)

Die alten TLS-Versionen 1.0 und 1.1 sollen ab dem Jahr 2020 aus dem Web verschwinden. Das kündigten die Hersteller aller großen Browser - Mozilla, Microsoft, Google und Apple - in einer offenbar abgesprochenen Aktion an. Ab Anfang 2020 müssen Webseitenbetreiber daher damit rechnen, dass ihre Webseiten nicht mehr funktionieren, wenn sie TLS 1.2 noch nicht unterstützen.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

TLS 1.0 wurde im Jahr 1999 veröffentlicht, der Nachfolger 1.1 im Jahr 2006. Dessen Nachfolger TLS 1.2 wurde bereits zwei Jahre später - 2008 veröffentlicht. Doch lange Zeit wurden die neueren Protokollversionen kaum genutzt. Google Chrome etwa unterstützt TLS 1.2 erst seit 2013, Mozilla erst seit 2014.

Die Browser sind mit ihren Plänen nicht allein. Bei der IETF liegt ein Entwurf für einen Standard vor, der die Abschaltung von TLS 1.0 und 1.1 besiegeln soll.

Weniger als zwei Prozent nutzen TLS 1.0 und 1.1

Inzwischen hat sich TLS 1.2 weitgehend durchgesetzt. Nach Zahlen, die Mozilla im Rahmen der Ankündigung veröffentlichte, nutzen 93 Prozent TLS 1.2, 5 Prozent nutzen schon die neue Version 1.3. Nur noch 1,1 Prozent der Verbindungen nutzen TLS 1.0, und TLS 1.1 ist mit 0,09 Prozent praktisch jetzt schon irrelevant.

Die Masse der Webseiten unterstützt also längst neuere Protokolle, doch ganz reibungslos wird die Umstellung wohl trotzdem nicht ablaufen. So dürften die verbleibenden Verbindungen nicht wenige Geräte betreffen, für die es keine Updates mehr gibt.

Dass die Browser diese Aktion gemeinsam ankündigen, dürfte den Hintergrund haben, dass es in der Vergangenheit bei der Abschaffung von veralteten Technologien oft Sorgen gab, dass einzelne Browser Nutzer verlieren könnten, wenn sie damit voranpreschten.

Sicherheitsrisiken in TLS 1.0 und 1.1? Nicht viele.

Es gab in den vergangenen Jahren viele Sicherheitslücken, die das TLS-Protokoll selbst betrachten. Allerdings ist der Unterschied zwischen TLS 1.0/1.1 auf der einen und TLS 1.2 auf der anderen Seite nicht sehr groß.

Der Beast-Angriff betrifft den CBC-Verschlüsselungsmodus in TLS 1.0, eine Gegenmaßnahme wurde in TLS 1.1 implementiert. Doch auch für TLS 1.0 können Browser Schutzmaßnahmen gegen Beast implementieren und die großen Browser haben das alle getan.

Weiterhin nutzen TLS 1.0 und 1.1 immer schwache Hashfunktionen wie MD5 und SHA1. Damit ist der sogenannte Sloth-Angriff möglich. Doch sowohl Beast als auch Sloth sind eher theoretische Angriffe, die in der Praxis kaum durchgeführt werden können. Zudem gilt: Auch in TLS 1.2 kann man schwache Hashfunktionen nutzen, es gibt allerdings optional Unterstützung für das sichere SHA-2.

Viele Angriffe auch in TLS 1.2 möglich

Die meisten Angriffe, die es gegen das TLS-Protokoll gab, betreffen TLS 1.2 ebenso. Ob man verwundbar ist, hängt vielmehr davon ab, welche Verschlüsselungsalgorithmen gentutz werden. So betrifft der Lucky-Thirteen-Angriff etwa alle Verbindungen im CBC-Modus, der ROBOT-Angriff nutzt Schwächen in der RSA-Verschlüsselung. Beide sind in TLS 1.2 immer noch erlaubt. Erst TLS 1.3 entfernt alle diese problematischen Algorithmen.

In der Ankündigung von Google wird bereits angedeutet, dass eine Abschaffung schwacher Verschlüsselungsmodi ebenfalls angedacht ist. So empfiehlt Google Webseitenbetreibern, bei Handshake-Signaturen immer SHA-2 zu nutzen, authentifizierte Verschlüsselungsmodi wie GCM und Poly1305 einzusetzen und einen Schlüsselaustausch mit elliptischen Kurven zu unterstützen.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  4. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Folgen Sie uns
       


Apple Pay ausprobiert

Dank Apple Pay können nun auch Nutzer in Deutschland kontaktlos mit ihrem iPhone bezahlen. Wir haben den Dienst bei unserem Lieblingscafé ausprobiert.

Apple Pay ausprobiert Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
Vivy & Co.
Gesundheitsapps kranken an der Sicherheit

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

  1. Krankenkassen Vivy-App gibt Daten preis
  2. Krankenversicherung Der Papierkrieg geht weiter
  3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

    •  /