GlobalSign Blog

08 Mai 2018

Es ist Zeit, TLS 1.0 (und alle SSL-Versionen) zu deaktivieren

Wie wir bereits in der Vergangenheit erläutert haben, sind SSL und TLS kryptografische Protokolle, die Authentifizierung und Datenverschlüsselung zwischen verschiedenen Endpunkten bereitstellen (z. B. einem Client, der sich mit einem Webserver verbindet). SSL ist dabei der Vorgänger von TLS. Seit der ersten Version von SSL 1995 wurden neue Versionen aller Protokolle veröffentlicht, um Schwachstellen zu schließen und die stärksten und sichersten Verschlüsselungssammlungen (Cipher Suites) und Algorithmen zu unterstützen. Wir sind derzeit bei TLS 1.3, das von der IETF (Internet Engineering Task Force) gerade genehmigt wurde.

Als Best Practice sollten Sie Ihre Server so konfigurieren, dass sie die neuesten Protokollversionen unterstützen, um sicherzustellen, dass Sie nur die stärksten Algorithmen und Verschlüsselungscodes verwenden. Aber genauso wichtig ist es, die älteren Versionen zu deaktivieren. Durch die Unterstützung alter Versionen der Protokolle können Sie anfällig für Downgrade-Angriffe werden, bei denen Hacker Verbindungen zu Ihrem Server erzwingen, um ältere Versionen der Protokolle zu verwenden, die bekannte Exploits aufweisen. Dadurch können Ihre verschlüsselten Verbindungen (egal ob zwischen einem Website-Besucher und Ihrem Webserver, von Computer zu Computer usw.) für Man-in-the-Middle- und andere Arten von Angriffen offen bleiben.

Das heißt, es ist offiziell Zeit, TLS 1.0 zu deaktivieren, wenn Sie es nicht bereits getan haben (und SSL 2.0 und SSL 3.0 ... obwohl Sie diese schon vor einiger Zeit wirklich deaktiviert haben sollten).

Apropos: Benötigen Sie eine Auffrischung über den Unterschied zwischen SSL und TLS? Lesen Sie hier unsere Erklärung

Was steckt hinter der Änderung?

Verschiedene Schwachstellen in den letzten Jahren (z. B. BEAST, POODLE, DROWN ... wir lieben gute Akronyme, oder?) haben dazu geführt, dass Branchenexperten vor einiger Zeit empfahlen, alle Versionen von SSL und TLS 1.0 zu deaktivieren. Aber diese aktuelle Initiative wird von der PCI-Compliance getrieben. Ab dem 30. Juni 2018 müssen alle Websites TLS 1.1 oder höher haben, um dem PCI Data Security Standard (DSS) zu entsprechen.

Überprüfen Sie, ob Ihre Website SSL- und TLS 1.0-Protokolle unterstützt

Wenn Sie nicht sicher sind, welche Protokolle Ihre Website unterstützt, können Sie unseren kostenlosen SSL-Server-Test nutzen. Navigieren Sie auf der Ergebnisseite zum Abschnitt Protokolle. Sie sehen eine Liste aller Protokolle und ob Sie diese aktuell aktiviert haben oder nicht. Das folgende Beispiel ist ein "gutes" schlechtes Beispiel für die Konfiguration Ihrer Website, da es weiterhin SSL 2.0, SSL 3.0 und TLS 1.0 unterstützt und TLS 1.2 nicht unterstützt.

Bad Results from SSL Server Test

Beispiel für Ergebnisse der Protokollunterstützung aus GlobalSigns SSL Server Test

Sie finden weitere Informationen darüber, welche Versionen von Servern und Clients jedes Protokoll unterstützen, sowie Anweisungen zum Deaktivieren der alten Protokolle auf unserer Support-Website.

Erinnerung: Zertifikate sind nicht von Protokollen abhängig

Falls Sie sich Sorgen darüber machen, wie Sie Ihre Zertifikate vor dem bevorstehenden PCI-Stichtag im Juni ersetzen, möchten wir alle daran erinnern, dass Zertifikate nicht von Protokollen abhängig sind. Protokolle werden von Ihrer Serverkonfiguration bestimmt, nicht von den Zertifikaten. Also keine Angst, Sie müssen nicht Ihr gesamtes Zertifikat-Inventar rauswerfen und ersetzen, um dieser Änderung Rechnung zu tragen!

Zusammengefasst

  • Verwenden Sie unseren kostenlosen Server Configuration Test, wenn Sie nicht sicher sind, welche Protokolle Sie aktuell unterstützen
  • Sie müssen die Unterstützung von SSLv2, SSLv3 und TLS 1.0 deaktivieren, da diese veraltet und anfällig sind (und auch, um die PCI-DSS-Compliance beizubehalten).
  • Sie sollten TLS 1.1 deaktivieren, wenn dies möglich ist, da es bekannte Sicherheitslücken enthält
  • Sie sollten TLS 1.2 und 1.3 aktivieren
  • Lesen Sie unseren Support-Artikel für Anleitungen zum Ändern der Serverkonfiguration und zum Aktivieren / Deaktivieren der entsprechenden Protokolle

Was die Pläne von GlobalSign betrifft, haben wir SSL-Protokolle vor langer Zeit deaktiviert und wir beenden die Unterstützung von TLS 1.0 und 1.1 für unsere Webpräsenzen vor dem 1. Juni, um die PCI-DSS-Compliance sicherzustellen. Wir unterstützen 1.2 weiterhin und arbeiten an der Unterstützung von 1.3, da es nun von der IETF genehmigt wurde.

Artikel teilen

Jetzt Blog abonnieren