Verschlüsselung: TLS 1.0 und 1.1 sollen "sterben, sterben, sterben"

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

Artikel veröffentlicht am ,
Die alten TLS-Versionen sollen abgeschafft werden.
Die alten TLS-Versionen sollen abgeschafft werden. (Bild: Andres Gonzalez, flickr.com/CC-BY 2.0)

Die Standardisierung von TLS 1.3 ist nach mehreren Jahren so gut wie abgeschlossen und die Veröffentlichung als RFC 8446 nur noch eine Formsache. Die aktuelle Version TLS 1.2 ist auch schon fast zehn Jahre alt. Trotzdem werden immer noch die älteren und potenziell unsicheren Versionen 1.0 aus dem Jahr 1999 und 1.1 von 2006 verwendet. Ein aktueller Entwurf der Internet Engineering Task Force (IETF) sieht nun vor, diese sehr alten Versionen auszumustern.

Stellenmarkt
  1. Senior Fullstack Engineer (m/w/d)
    Haufe Group, Freiburg
  2. (Junior) Data Scientist (m/w/d) im Chief Data Office
    Allianz Versicherungs-AG, München Unterföhring
Detailsuche

Der Vorschlag stammt von Kathleen Moriarty, die für Dell EMC an dessen Technologie- und Standardstrategie arbeitet und zurzeit Vorsitzende des Sicherheitsbereichs der IETF ist, sowie von Forscher Stephen Farrell des Trinity Colleges Dublin. Der Entwurf zum Abschaffen von TLS 1.0 und 1.1 trägt zurzeit scherzhaft noch den Namen "diediedie", also "stirb, stirb, stirb". Das wiederum ist ein direkter Bezug zu dem Standard, mit dem SSL 3.0 abgeschafft wurde. Der Entwurf dazu trug ebenfalls den Zusatz "diediedie".

Veraltet und kaum noch verwendet

Als Gründe für das Abschaffen der alten Protokollversionen wird vorgebracht, dass diese Standards Cipher-Suites vorsehen, die nach heutigen Kriterien nicht mehr wünschenswert seien. Vor allem fehle die Unterstützung für AEAD-Cipher. Darüber hinaus verstärke die Unterstützung von vier Versionen die Wahrscheinlichkeit für Fehlkonfigurationen.

Die Autoren führen außerdem an, dass die Nutzungsrate der beiden alten Protokollversionen zurzeit vergleichsweise gering sei und die Versionen künftig von vielen großen Diensten nicht mehr verwendet würden. Dazu gehörten unter anderem Amazon und Cloudflare. Auch der Verband, der die Sicherheitsregeln im Zahlungsverkehr mit Kreditkarten regelt, das PCI Security Standards Council, will noch in diesem Sommer offiziell die Verwendung der alten TLS-Versionen verbieten.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Der aktuelle IETF-Vorschlag sieht vor, dass weder TLS 1.0 noch 1.1 verwendet werden dürfen. Auch das Aushandeln dieser Versionen darf nicht erlaubt werden. Letzteres soll für sämtliche Implementierungen gelten. Zusätzlich zu dem eigentlichen Standard, in dem die Versionen abgeschafft werden, sieht der Entwurf auch vor, die sogenannten Best Current Practices (BCP) der IETF zu aktualisieren. Die veralteten Versionen wären damit auch offiziell nicht mehr Teil des aktuellen Stands der Internettechnik.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk erzählt, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Quartalsbericht: Apple mit 36 Prozent Umsatzwachstum
    Quartalsbericht
    Apple mit 36 Prozent Umsatzwachstum

    Apple verkaufte viel mehr iPhones, iPads, Macs und Zubehör als im letzten Jahr. Der Umsatz stieg um 36 Prozent und auch der Gewinn lässt sich sehen.

  2. Energiespeicher: Tesla nennt Preis für Megapack-Akku mit 3 MWh
    Energiespeicher
    Tesla nennt Preis für Megapack-Akku mit 3 MWh

    Das Tesla Megapack ist ein industrielles Akkusystem mit einer Kapazität von 3 Megawattstunden. Nun wurde der Online-Konfiguratur online gestellt.

  3. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

RipClaw 21. Jun 2018

Es gibt soweit ich weiß sogar eine angepasste Version von Java 6 mit überarbeitetem TLS...

pinjiz 20. Jun 2018

Falls du mit der Backdoor die Schwächungsversuche durch Banken meinst: Das ist vom Tisch...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /