Abo
  • Services:

Verschlüsselung: TLS 1.0 und 1.1 sollen "sterben, sterben, sterben"

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

Artikel veröffentlicht am ,
Die alten TLS-Versionen sollen abgeschafft werden.
Die alten TLS-Versionen sollen abgeschafft werden. (Bild: Andres Gonzalez, flickr.com/CC-BY 2.0)

Die Standardisierung von TLS 1.3 ist nach mehreren Jahren so gut wie abgeschlossen und die Veröffentlichung als RFC 8446 nur noch eine Formsache. Die aktuelle Version TLS 1.2 ist auch schon fast zehn Jahre alt. Trotzdem werden immer noch die älteren und potenziell unsicheren Versionen 1.0 aus dem Jahr 1999 und 1.1 von 2006 verwendet. Ein aktueller Entwurf der Internet Engineering Task Force (IETF) sieht nun vor, diese sehr alten Versionen auszumustern.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Schwarz Zentrale Dienste KG, Heilbronn

Der Vorschlag stammt von Kathleen Moriarty, die für Dell EMC an dessen Technologie- und Standardstrategie arbeitet und zurzeit Vorsitzende des Sicherheitsbereichs der IETF ist, sowie von Forscher Stephen Farrell des Trinity Colleges Dublin. Der Entwurf zum Abschaffen von TLS 1.0 und 1.1 trägt zurzeit scherzhaft noch den Namen "diediedie", also "stirb, stirb, stirb". Das wiederum ist ein direkter Bezug zu dem Standard, mit dem SSL 3.0 abgeschafft wurde. Der Entwurf dazu trug ebenfalls den Zusatz "diediedie".

Veraltet und kaum noch verwendet

Als Gründe für das Abschaffen der alten Protokollversionen wird vorgebracht, dass diese Standards Cipher-Suites vorsehen, die nach heutigen Kriterien nicht mehr wünschenswert seien. Vor allem fehle die Unterstützung für AEAD-Cipher. Darüber hinaus verstärke die Unterstützung von vier Versionen die Wahrscheinlichkeit für Fehlkonfigurationen.

Die Autoren führen außerdem an, dass die Nutzungsrate der beiden alten Protokollversionen zurzeit vergleichsweise gering sei und die Versionen künftig von vielen großen Diensten nicht mehr verwendet würden. Dazu gehörten unter anderem Amazon und Cloudflare. Auch der Verband, der die Sicherheitsregeln im Zahlungsverkehr mit Kreditkarten regelt, das PCI Security Standards Council, will noch in diesem Sommer offiziell die Verwendung der alten TLS-Versionen verbieten.

Der aktuelle IETF-Vorschlag sieht vor, dass weder TLS 1.0 noch 1.1 verwendet werden dürfen. Auch das Aushandeln dieser Versionen darf nicht erlaubt werden. Letzteres soll für sämtliche Implementierungen gelten. Zusätzlich zu dem eigentlichen Standard, in dem die Versionen abgeschafft werden, sieht der Entwurf auch vor, die sogenannten Best Current Practices (BCP) der IETF zu aktualisieren. Die veralteten Versionen wären damit auch offiziell nicht mehr Teil des aktuellen Stands der Internettechnik.



Anzeige
Spiele-Angebote
  1. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  2. 31,99€
  3. 19,49€
  4. 32,99€

RipClaw 21. Jun 2018

Es gibt soweit ich weiß sogar eine angepasste Version von Java 6 mit überarbeitetem TLS...

pinjiz 20. Jun 2018

Falls du mit der Backdoor die Schwächungsversuche durch Banken meinst: Das ist vom Tisch...


Folgen Sie uns
       


3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Raytracing Demo von 3D Mark auf Nvidias neuer Geforce RTX 2080 Ti und der älteren Geforce GTX 1080 Ti abspielen lassen.

3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


    Galaxy A9 im Hands on: Samsung bietet vier
    Galaxy A9 im Hands on
    Samsung bietet vier

    Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
    Ein Hands on von Tobias Költzsch

    1. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
    2. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor
    3. NAND und DRAM Samsung scheint künstlich Flash-Preise hoch zu halten

      •  /