• IT-Karriere:
  • Services:

Verschlüsselung: TLS 1.0 und 1.1 sollen "sterben, sterben, sterben"

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

Artikel veröffentlicht am ,
Die alten TLS-Versionen sollen abgeschafft werden.
Die alten TLS-Versionen sollen abgeschafft werden. (Bild: Andres Gonzalez, flickr.com/CC-BY 2.0)

Die Standardisierung von TLS 1.3 ist nach mehreren Jahren so gut wie abgeschlossen und die Veröffentlichung als RFC 8446 nur noch eine Formsache. Die aktuelle Version TLS 1.2 ist auch schon fast zehn Jahre alt. Trotzdem werden immer noch die älteren und potenziell unsicheren Versionen 1.0 aus dem Jahr 1999 und 1.1 von 2006 verwendet. Ein aktueller Entwurf der Internet Engineering Task Force (IETF) sieht nun vor, diese sehr alten Versionen auszumustern.

Stellenmarkt
  1. Stadt Achim, Achim
  2. über duerenhoff GmbH, Raum Karlsruhe

Der Vorschlag stammt von Kathleen Moriarty, die für Dell EMC an dessen Technologie- und Standardstrategie arbeitet und zurzeit Vorsitzende des Sicherheitsbereichs der IETF ist, sowie von Forscher Stephen Farrell des Trinity Colleges Dublin. Der Entwurf zum Abschaffen von TLS 1.0 und 1.1 trägt zurzeit scherzhaft noch den Namen "diediedie", also "stirb, stirb, stirb". Das wiederum ist ein direkter Bezug zu dem Standard, mit dem SSL 3.0 abgeschafft wurde. Der Entwurf dazu trug ebenfalls den Zusatz "diediedie".

Veraltet und kaum noch verwendet

Als Gründe für das Abschaffen der alten Protokollversionen wird vorgebracht, dass diese Standards Cipher-Suites vorsehen, die nach heutigen Kriterien nicht mehr wünschenswert seien. Vor allem fehle die Unterstützung für AEAD-Cipher. Darüber hinaus verstärke die Unterstützung von vier Versionen die Wahrscheinlichkeit für Fehlkonfigurationen.

Die Autoren führen außerdem an, dass die Nutzungsrate der beiden alten Protokollversionen zurzeit vergleichsweise gering sei und die Versionen künftig von vielen großen Diensten nicht mehr verwendet würden. Dazu gehörten unter anderem Amazon und Cloudflare. Auch der Verband, der die Sicherheitsregeln im Zahlungsverkehr mit Kreditkarten regelt, das PCI Security Standards Council, will noch in diesem Sommer offiziell die Verwendung der alten TLS-Versionen verbieten.

Der aktuelle IETF-Vorschlag sieht vor, dass weder TLS 1.0 noch 1.1 verwendet werden dürfen. Auch das Aushandeln dieser Versionen darf nicht erlaubt werden. Letzteres soll für sämtliche Implementierungen gelten. Zusätzlich zu dem eigentlichen Standard, in dem die Versionen abgeschafft werden, sieht der Entwurf auch vor, die sogenannten Best Current Practices (BCP) der IETF zu aktualisieren. Die veralteten Versionen wären damit auch offiziell nicht mehr Teil des aktuellen Stands der Internettechnik.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 249€ (Vergleichspreis 277,99€)
  2. (u. a. Samsung 860 QVO 1 TB für 99,90€, Samsung 860 QVO 2 TB für 199,99€, Samsung Protable...

RipClaw 21. Jun 2018

Es gibt soweit ich weiß sogar eine angepasste Version von Java 6 mit überarbeitetem TLS...

pinjiz 20. Jun 2018

Falls du mit der Backdoor die Schwächungsversuche durch Banken meinst: Das ist vom Tisch...


Folgen Sie uns
       


O2 Free Unlimited im Test

Wir haben die beiden in der Geschwindigkeit beschränkten Smartphone-Tarife von Telefónica getestet, die eine echte Datenflatrate anbieten. Selbst der kleine Tarif O2 Free Unlimited Basic ist für typische Smartphone-Aufgaben ausreichend.

O2 Free Unlimited im Test Video aufrufen
Golem Akademie: IT-Sicherheit für Webentwickler als Live-Webinar
Golem Akademie
"IT-Sicherheit für Webentwickler" als Live-Webinar

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Webinar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

  1. Golem Akademie Zeitmanagement für IT-Profis
  2. Golem Akademie IT-Sicherheit für Webentwickler
  3. In eigener Sache Golem-pur-Nutzer erhalten Rabatt für unsere Workshops

Microsoft Teams im Alltag: Perfektes Werkzeug, um Effizienz zu vernichten
Microsoft Teams im Alltag
Perfektes Werkzeug, um Effizienz zu vernichten

Wir verwenden Microsofts Chat-Dienst Teams seit vielen Monaten in der Redaktion. Im Alltag zeigen sich so viele Probleme, dass es eigentlich eine Belohnung für alle geben müsste, die das Produkt verwenden.
Von Ingo Pakalski

  1. Microsoft Office 365 wird umbenannt
  2. Coronavirus Microsoft muss einige Azure-Dienste und Teams einschränken
  3. Microsoft Investition in Entwickler von Gesichtserkennung soll enden

Lkw-Steuerung: Der ferngesteuerte Lastwagen
Lkw-Steuerung
Der ferngesteuerte Lastwagen

Noch steuern den automatisierten Lastwagen T-Pod Entwickler, die Lkw-Fahren gelernt haben. Jetzt wird erstmals der umgekehrte Fall getestet - um das System kommerziell zu machen.
Ein Bericht von Werner Pluta

  1. Neue Prioritäten Daimler setzt beim autonomen Fahren zuerst auf Lkw
  2. Autonomes Fahren AutoX und Fiat planen autonome Taxis in China
  3. Human Drive Autonomer Nissan Leaf fährt durch Großbritannien

    •  /