TLS1.0 und TLS1.1 offiziell von IETF RFC8996 eingestellt

Druckfreundlich, PDF & E-Mail

TLS ist ein Kommunikationsprotokoll, das zur Verschlüsselung des Datenverkehrs zwischen Clients und Anwendungsservern dient. Bei vielen öffentlich zugänglichen Anwendungen oder Websites ist sehr oft eine Version des TLS-Protokolls mit im Spiel. In der Vergangenheit wurden bereits mehrere Versionen des TLS-Protokolls veröffentlicht, wobei jede Version inkrementell sicherer war als ihre Vorgängerin. TLS 1.3 ist die neueste Version aus der TLS-Familie und bietet maximale Sicherheit. 

Vor etwa einer Woche hat die IETF offiziell die Best Current Practice RFC8996 angenommen. Die älteren Protokolle TLS 1.0 und TLS 1.1 werden somit nun offiziell aus der Liste der SSL/TLS-Protokolle entfernt. In der Zusammenfassung heißt es dazu:

„Diese Versionen bieten keine Unterstützung für aktuelle und empfohlene kryptografische Algorithmen und Mechanismen. Verschiedene staatliche und branchenspezifische Profile für Anwendungen, die TLS verwenden, schreiben nun vor, diese alten TLS-Versionen zu vermeiden. Die TLS-Version 1.2 wurde 2008 zur empfohlenen Version für IETF-Protokolle (2018 durch die TLS-Version 1.3 ersetzt). Die Betroffenen hatten also ausreichend Zeit, die älteren Versionen zu ersetzen. Indem ältere Versionen nicht mehr in den Implementierungen unterstützt werden, wird die Angriffsfläche reduziert, die Möglichkeit einer Fehlkonfiguration verringert und die Bibliotheks- und Produktpflege rationalisiert.“

Für die meisten Organisationen, die nicht bereits verpflichtet sind, TLS 1.2 oder höher zu verwenden, wird der Wechsel empfohlen. Der Wechsel zu TLS 1.2 oder TLS 1.3 gilt nun als Best Practice, um maximale Sicherheit für Transaktionen mit Ihren Web-, Mobil- oder API-basierten Anwendungen zu gewährleisten. 

Sehen wir uns das etwas näher an.

Der Entwurf für das RFC wurde fantasievoll betitelt: draft-moriarty-tls-oldversions-diediedie. Dem haben wir nichts entgegenzusetzen.

Im Februar dieses Jahres haben wir unseren Threat Spotlight zum Thema Angriffe auf Webanwendungen auf Basis von Daten aus unserem Barracuda WAF-as-a-Service-Traffic veröffentlicht. In diesem Zusammenhang erkannten wir einige interessante Trends:

  • Nahezu 92% des gesamten Datenverkehrs nutzte HTTPS.
  • Fast 65% des HTTPS-Datenverkehrs nutzte TLS 1.3.
  • Etwa 30% des gesamten HTTPS-Verkehrs nutzte TLS 1.2.
  • Etwa 5% oder weniger des HTTPS-Verkehrs nutzte TLS 1.1 oder ein früheres Protokoll.

Das sieht doch sehr gut für unsere Kunden aus!

Das Interessante an diesen Daten (außer der Tatsache, dass wir entgegen unseren Erwartungen viel höhere TLS 1.3-Zahlen sahen) ist, dass die meisten modernen Browser TLS 1.3 unterstützen und auch bevorzugen. Diese Transition zur Nutzung des neuen Protokolls war nicht sehr schwierig. Tatsächlich war der Übergang fast nahtlos – im Gegensatz zu dem, was einige Pessimisten noch vor einiger Zeit prophezeiten. Selbst Bots scheinen TLS 1.2 im Vergleich zu älteren Versionen zu bevorzugen, vor allem weil das zugrunde liegende Betriebssystem das Protokoll unterstützt. Automatische Browser-Updates sind wirklich eine tolle Sache.

Der einzige Stolperstein im Rahmen solcher Änderungen ist üblicherweise die Anwendung selbst. So gibt es etwa ältere Anwendungen, die nicht mit Protokollen jenseits von SSLv3.0 kompatibel sind, oder Anwendungen, die von älteren Betriebssystemversionen abhängen, welche die neuesten TLS-Versionen nicht unterstützen. Diese Anwendungen sind in der Regel aufgrund des Zeit- und Arbeitsaufwands, die ein Upgrade in Anspruch nehmen würde, nicht ausreichend abgesichert. Das ist jedoch keine große Herausforderung, sofern Sie Barracuda WAF-as-a-Service verwenden. Jede beliebige Anwendung kann innerhalb weniger Minuten in WAF-as-a-Service eingebunden und so geschützt werden. Das Beste an diesem Schutz ist, dass WAF-as-a-Service dann ein sicheres HTTPS-Frontend für die Anwendung bereitstellt, das mit Browsern und Apps mit den neuesten sicheren TLS-Versionen kommuniziert. Anschließend wird dies in die ältere Version übersetzt, die von Ihrer Anwendung verwendet wird, und der Datenverkehr wird dann an das Backend in einer ihm verständlichen Form weitergeleitet. WaaS automatisiert sogar den Prozess der Zertifikatserstellung durch die Integration mit Let's Encrypt für kostenlose HTTPS-Zertifikate. Durch den Einsatz von WaaS wird damit ein Großteil der Komplexität reduziert und durch sichere Prozesse ersetzt.

Informationen zu unserer kostenlosen 30-tägigen Testversion finden Sie hier auf unserer Website. Für einen kostenlosen Schwachstellen-Scan Ihrer Website besuchen Sie den Barracuda Vulnerability Manager.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Nach oben scrollen
Twittern
Teilen
Teilen