Welche TLS-Versionen verwendet ein Web-Server?

Noch eine kurze Information rund um das Thema Transport Layer Security (TLS), welches ja aktuell häufiger diskutiert wird. Wie kann ich eigentlich herausfinden, welche TLS-Versionen ein Server unterstützt?


Anzeige

Zum Hintergrund

Für die Transportverschlüsselung von Netzwerkverbindungen (SSL bei https) wird seit fast 20 Jahren das Tansport Layer Security-Protokoll (TLS) verwendet. Historisch gesehen gibt es dabei verschiedene Versionen: TLS 1.0, TLS 1.1, TLS 1.2 und seit dem 10. August 2018 TLS 1.3. Die neuere TLS-Standards wurden eingeführt, um die Sicherheit zu verbessern.

Das 1999 eingeführte TLS 1.0 gilt inzwischen aber als veraltet und auch TLS 1.1 wird ausgemustert. Die https-Verbindungen zwischen Client (Browser) und Server sollten in Zukunft über TLS 1.2 und TLS 1.3 abgewickelt werden. Die Tage hatte ich im Blog-Beitrag Webbrowser kicken 2020 den TLS 1.0/1.1-Support berichtet, dass die großen Browser-Hersteller ab dem Jahr 2020 die Unterstützung für TLS 1.0 und TLS 1.1 auslaufen lassen.

Welche TLS-Versionen verwendet ein Server?

Bei einer Verbindungsaufnahme eines Clients (Browser) mit einem Server über eine https-Verbindung handeln die beiden Partner aus, welche TLS-Version für die Transportverschlüsselung verwendet wird. So kann es sein, dass ein Server TLS 1.3 beherrscht, die Clients aber nur TLS 1.1 können.

Wenn ich meinen Server, auf dem die Blogs laufen, auf Zertifikatsfehler überprüfen möchte, verwende ich die Seite https://www.ssllabs.com/ssltest/. Dort lässt sich die URL des Webangebots angeben und die Seite prüft dann diverse Sachen ab. Das kann aber dauern. In den Ergebnissen lässt sich dann ablesen, ob Zertifikate gültig und vertrauenswürdig sein. Dabei werden auch die unterstützten TLS-Versionen aufgelistet.


Anzeige

TLS-Unterstützung Server

Wer auf die Schnelle herausfinden möchte, welche TLS-Versionen ein bestimmter Server unterstützt, kann den TLS-Checker aufrufen. Die Seite ist zwar primär darauf ausgerichtet, TLS 1.3 über ein Contend Delivery Network (CDN) zu promoten. Aber man bekommt ganz fix angezeigt, welche TLS-Versionen unterstützt werden.

Beim Client (Browser) kann man ggf. in den Einstellungen sehen, welche TLS-Versionen verwendet werden dürfen. Bei Internet Explorer kann man beispielsweise über 'Internetoptionen' zu den Einstellungen auf der Registerkarte 'Erweitert' gehen und dort die Optionen anpassen.

TLS-Unterstützung im IE 11


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Welche TLS-Versionen verwendet ein Web-Server?

  1. nook sagt:

    Einstellungen im Firefox, hier 62.0.3

    about:config

    security.tls.version.min = 3 (war auf 1)
    security.tls.version.max = 4

    1 = TLS 1.0
    2 = TLS 1.1
    3 = TLS 1.2
    4 = TLS 1.3

    bislang haben sich alle Seiten geöffnet.

  2. RUTZ-AhA sagt:

    Im Browser Firefox links neben dem Schloss auf das i klicken und dann bei Sichere Verbindung in grüner Schrift auf den Pfeil und auf Weitere Informationen. Da wird unter anderem auch die TLS Version angezeigt.

  3. Henry Barson sagt:

    Viel schöner und interessanter als die TLS-Versionitis ist die Möglichkeit festzustellen, welche Ciphersuiten in welcher Rückfallreihenfolge angeboten werden.

  4. Anonymous sagt:

    @Günter:
    https://www.ssllabs.com/ssltest/analyze.html?d=borncity.com&hideResults=on&latest
    da kann aber einiges an ollen Ciphern raus, vor Allem 3DES
    es gibt imho keinen Browser der sich nur noch mit 3DES verbinden könnte aber auch schon SNI unterstützt.

    • Günter Born sagt:

      Danke für die Info. Ich hatte bereits einiges gesehen, bin mir aber nicht sicher, ob ich da überhaupt was ändern kann – ich habe nur ein Web-Paket, wo ich keinen Einfluss habe, was der Server macht. Da klemmen momentan größere Sachen, die mir auf den Nägeln brennen.

  5. Axel Glitza sagt:

    Danke für die Info, finde ich super nützlich. Allerdings für mein aktuelles Problem hilft mir das nicht weiter. Ich verwende eine Securepoint Firewall und bekomme gerade die Funktion "Reverse Proxy" nicht so recht in den Griff. Die o. g. Seite weißt alles aus, was bis zur Firewall geht. Alles dahinter allerdings nicht. Zur Ergänzung kann man einen Server selbst auch direkt testen: (Befehl/Linux) openssl ciphers -v | awk | '{print $2}' | sort | uniq => Wirft eine Liste von TLS-Versionen, die der Server unterstützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.