Abo
  • IT-Karriere:

Verschlüsselung: TLS 1.0 und 1.1 sollen "sterben, sterben, sterben"

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

Artikel veröffentlicht am ,
Die alten TLS-Versionen sollen abgeschafft werden.
Die alten TLS-Versionen sollen abgeschafft werden. (Bild: Andres Gonzalez, flickr.com/CC-BY 2.0)

Die Standardisierung von TLS 1.3 ist nach mehreren Jahren so gut wie abgeschlossen und die Veröffentlichung als RFC 8446 nur noch eine Formsache. Die aktuelle Version TLS 1.2 ist auch schon fast zehn Jahre alt. Trotzdem werden immer noch die älteren und potenziell unsicheren Versionen 1.0 aus dem Jahr 1999 und 1.1 von 2006 verwendet. Ein aktueller Entwurf der Internet Engineering Task Force (IETF) sieht nun vor, diese sehr alten Versionen auszumustern.

Stellenmarkt
  1. Scheugenpflug AG, Neustadtan der Donau
  2. Therapon 24, Nauheim

Der Vorschlag stammt von Kathleen Moriarty, die für Dell EMC an dessen Technologie- und Standardstrategie arbeitet und zurzeit Vorsitzende des Sicherheitsbereichs der IETF ist, sowie von Forscher Stephen Farrell des Trinity Colleges Dublin. Der Entwurf zum Abschaffen von TLS 1.0 und 1.1 trägt zurzeit scherzhaft noch den Namen "diediedie", also "stirb, stirb, stirb". Das wiederum ist ein direkter Bezug zu dem Standard, mit dem SSL 3.0 abgeschafft wurde. Der Entwurf dazu trug ebenfalls den Zusatz "diediedie".

Veraltet und kaum noch verwendet

Als Gründe für das Abschaffen der alten Protokollversionen wird vorgebracht, dass diese Standards Cipher-Suites vorsehen, die nach heutigen Kriterien nicht mehr wünschenswert seien. Vor allem fehle die Unterstützung für AEAD-Cipher. Darüber hinaus verstärke die Unterstützung von vier Versionen die Wahrscheinlichkeit für Fehlkonfigurationen.

Die Autoren führen außerdem an, dass die Nutzungsrate der beiden alten Protokollversionen zurzeit vergleichsweise gering sei und die Versionen künftig von vielen großen Diensten nicht mehr verwendet würden. Dazu gehörten unter anderem Amazon und Cloudflare. Auch der Verband, der die Sicherheitsregeln im Zahlungsverkehr mit Kreditkarten regelt, das PCI Security Standards Council, will noch in diesem Sommer offiziell die Verwendung der alten TLS-Versionen verbieten.

Der aktuelle IETF-Vorschlag sieht vor, dass weder TLS 1.0 noch 1.1 verwendet werden dürfen. Auch das Aushandeln dieser Versionen darf nicht erlaubt werden. Letzteres soll für sämtliche Implementierungen gelten. Zusätzlich zu dem eigentlichen Standard, in dem die Versionen abgeschafft werden, sieht der Entwurf auch vor, die sogenannten Best Current Practices (BCP) der IETF zu aktualisieren. Die veralteten Versionen wären damit auch offiziell nicht mehr Teil des aktuellen Stands der Internettechnik.



Anzeige
Hardware-Angebote
  1. 199,90€
  2. täglich neue Deals bei Alternate.de

RipClaw 21. Jun 2018

Es gibt soweit ich weiß sogar eine angepasste Version von Java 6 mit überarbeitetem TLS...

pinjiz 20. Jun 2018

Falls du mit der Backdoor die Schwächungsversuche durch Banken meinst: Das ist vom Tisch...


Folgen Sie uns
       


Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Arbeit: Hilfe für frustrierte ITler
    Arbeit
    Hilfe für frustrierte ITler

    Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
    Von Robert Meyer

    1. IT-Forensikerin Beweise sichern im Faradayschen Käfig
    2. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
    3. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt

    Google Maps: Karten brauchen Menschen statt Maschinen
    Google Maps
    Karten brauchen Menschen statt Maschinen

    Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
    Von Sebastian Grüner

    1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
    2. Maps Duckduckgo mit Kartendienst von Apple
    3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

      •  /