Spaß mit TLS – 1.0 vs. 1.2

TLS dürfte jedem Internetnutzer bekannt sein – naja, OK, vielleicht nicht unter dem Namen, aber spätestens bei Ablegern wie “HTTPS” sollte es Klick machen. TLS stellt quasi die Basis der verschlüsselten Kommunikation im Internet dar – Shopping, Onlinebanking, E-Mails & co werden so vor unerwünschten Einblicken geschützt. 1999 wurde die erste Version offiziell spezifiziert, eine Weiterentwicklung der Netscape-Erfindung SSL.

Computertechnik ist nicht gerade dafür bekannt, dass sie sonderlich lange hält, daher ist es kaum verwunderlich, dass der Standard inzwischen mehrmals erneuert wurde. Aktuell ist TLS 1.2 aus dem Jahr 2008, welches u.A. einige Lücken schließt.

Natürlich konnte ich nach dem Hinweis von SemperVideo es nicht lassen mal einen Blick auf diverse Seiten zu werfen. Während viele private Blog und andere Auswüchse des “Social Media”-Bereiches häufig bereits TLS 1.2 im Einsatz haben sieht es bei klassischen Firmen eher mau aus – als Beispiel sei hier der Onlineriese Amazon und die Banken der VR-Gruppe Süd genannt, welche beide lediglich TLS 1.0 anbieten – erstere sogar ohne PFS, welches Angriffe vielfach erleichtert.

Im Falle der Bank konnte ich eine Stellungnahme der GAD erhalten, welche für die Betreuung der technischen Infrastruktur zuständig ist.

Guten Tag,

unsere Sicherheitsstandards werden regelmäßig durch unsere Experten überprüft, verändert und ggf. erneuert. So auch in dem von Ihnen genannten Fall. Eine Aktualisierung ist für das nächste Jahr geplant.

Aussagen der Fachbereiche haben ergeben, dass zwar seit fünf Jahren der Verschlüsselungsstandard TLS 1.2 auf dem Mark ist, aber dass viele Browser und auch Webserver diesen Standard noch nicht unterstützten.

Anbei auch nochmal eine Meldung vom Juli 2013, bez. TLS 1.2 und Browsersupport.

http://www.golem.de/news/tls-1-2-bald-bessere-verschluesselung-fuer-firefox-und-chrome-1307-100370.html

Freundliche Grüße

GAD eG

Prinzipiell verständlich, auch wenn die Aussage, dass der Standard noch nicht unterstützt würde inzwischen großteils überholt ist – zudem ist das System abwärtskompatibel. Wie auch immer: Das Thema scheint beim Dienstleister der Bank bereits bekannt zu sein und der Zeitplan ist für diese Branche bei nicht direkt angreifbaren Sicherheitsupdates relativ zügig – imo angemessene Reaktion, schade, dass man häufig lediglich auf Schweigen oder themenfremde Textblöcke trifft.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.