Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 138

Debian-Entwicklungsversion schaltet TLS 1.0 und 1.1 ab

Debian-Entwicklungsversion schaltet TLS 1.0 und 1.1 ab

Geht es nach den Entwicklern, wird Debian Buster nur noch TLS 1.2 unterstützen. Rechner, die nur TLS 1.0 oder 1.1 beherrschen, könnten dann mit diesen Systemen nicht mehr sicher sprechen. Momentan unterstützen fast alle Webserver nach wie vor TLS 1.0.

Die Entwickler der vor allem für den Server-Einsatz beliebten Linux-Distribution Debian haben im Entwicklungszweig unstable (auch bekannt als Debian Sid) die Unterstützung für TLS 1.0 und 1.1 entfernt. Da TLS 1.3 noch nicht fertig ist, wäre damit TLS 1.2 die einzige unterstützte Version des Protokolls, das Netzwerkverbindungen in großen Teilen des weltweiten Netzes absichert. Wird Sid irgendwann (voraussichtlich in den nächsten zwei Jahren) zum offiziell unterstützten Release Debian 10 (Buster), könnten somit Systeme auf der Strecke bleiben, die TLS 1.2 nicht beherrschen – diese können sich dann nicht mehr auf sicherem Wege mit dieser neuen Debian-Version verständigen.

Zwar ist TLS 1.2 mittlerweile als Standard für sichere Verbindungen im Netz etabliert, ebenso wie die Version des SSL-Nachfolgeprotokolls, die man eigentlich einsetzen will, um Verbindungen zukunftssicher zu verschlüsseln, allerdings gibt es nach wie vor Systeme, die nur ältere Versionen beherrschen. Die Debian-Entwickler schätzen die Verbreitung von Systemen, die TLS 1.2 sprechen auf "um die 90 Prozent". Eine Einschätzung die, jedenfalls für Webserver, durch Untersuchungen der SSL Labs bei Qualys bestätigt wird (TLS-1.2-Unterstützung bei Webservern liegt demnach bei 87,7 Prozent). Das berücksichtigt allerdings nicht den TLS-Support bei Client-Systemen – etwa Smartphones mit veralteten Betriebssystemen oder Embedded-Systeme.

Bestrebungen, zumindest TLS 1.0 aus dem Netz zu verbannen, gibt es schon eine ganze Weile. So kommentierte heise Security zuletzt 2015 eine entsprechende Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch mit der Einschätzung: "TLS 1.0 ist keineswegs so veraltet und unsicher, dass man dessen Nutzung gar nicht mehr verantworten könnte." Aus der puristischen Sicht von Krypto-Experten will man sicherlich so schnell wie möglich auf TLS 1.2 umsteigen. Trotzdem unterstützen laut Qualys immer noch 92,9 Prozent aller Webseiten wenigstens einen Fallback auf Version 1.0, um älteren Systemen nicht pauschal jegliche Möglichkeit für sichere Kommunikation zu nehmen. Genau das scheinen die Debian-Entwickler allerdings wissentlich in Kauf zu nehmen. (fab)

138 Kommentare

Themen:

Anzeige
  1. Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

    Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

    Fehler beim Aufbrechen von TLS-Verbindungen bei Fortinet-Geräten erlauben es Angreifern, beliebige Informationen in gesicherte Verbindungen einzuschleusen. Ähnliche Angriffe sind bereits seit acht Jahren bekannt.

  2. TLS 1.3: Security-Devices verhindern die Einführung

    Netzwerkkabel

    Alle Security-Experten sind sich einig, dass der Standard TLS 1.3 ein deutlicher Schritt zu mehr Sicherheit im Internet wäre. Doch ausgerechnet Security-Devices, die Verschlüsselung aufbrechen, verhindern die Einführung auf nicht absehbare Zeit.

  3. Android O verbietet TLS Version Fallback

    Android O verbietet TLS Version Fallback

    Der Verzicht auf den Rückgriff auf ältere TLS-Versionen bei einem gescheiterten Handshake ist überfällig und dürfte nur wenige Anwendungen beeinträchtigen. Er sollte aber potenzielle Hintertüren verhindern.

  4. WordPress will 2017 HTTPS-Ausbau vorantreiben

    WordPress will 2017 HTTPS-Ausbau vorantreiben

    In naher Zukunft sollen bestimmte WordPress-Bestandteile nur noch funktionieren, wenn die Transportverschlüsselung via SSL/TLS gewährleistet ist.

  1. Zielgerade für .NET Core: Release Candidate 2 veröffentlicht

    Die RC2-Versionen von .NET Core 1.0, ASP.NET Core 1.0 und Entity Framework Core 1.0 sind verfügbar.

  2. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 2: Server-Programmierung

    Asynchroner Programmablauf im WOPR-Server (Abb. 2)

    Boost.Asio bietet plattformübergreifende Möglichkeiten zur Netzwerkprogrammierung in C++, inklusive der Implementierung von SSL/TLS. Beim Erstellen eines Servers gilt es einige Besonderheiten zu beachten.

  3. SSL/TLS-Netzwerkprogrammierung mit Boost.Asio, Teil 1: Grundlagen

    SSL/TLS-Netzwerkprogrammierung mit Boost.Asio - Teil 1: Grundlagen

    Im Umfeld von C++ verspricht Boost.Asio, eine einfache, plattformübergreifende Möglichkeit zur Netzwerkprogrammierung zu sein. Dazu gehört auch das Absichern der Verbindungen mit SSL beziehungsweise TLS.

  1. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

  2. Paradise Papers: Für dumm verkauft

    Unser Steuersystem fördert die Großkonzerne, zerstört Kleinunternehmer und rasiert den Durchschnittsbürger. Ein Gastbeitrag

Anzeige