[English]Es ist ein Thema, welches hier im Blog mehrfach angesprochen wurde: Die Zeiten zur Verwendung der Protokolle TLS 1.0 und TLS 1.1 zur Kommunikation mit Servern neigen sich dem Ende zu. Die Protokolle sich nicht mehr als sicher anzusehen und sollen nicht mehr verwendet werden. Microsoft hat erneut zum 1. September 2023 die Gelegenheit ergriffen, Administratoren darauf hinzuweisen, dass die beiden Protokolle "in naher Zukunft" unter Windows "in kommenden Betriebssystemversionen" deaktiviert werden.
Anzeige
Ich hatte zum Wochenende bereits im Artikel Veraltete Windows-Funktionen: WordPad soll nach 28 Jahren aus Windows verschwinden am Rande darauf hingewiesen, dass neben WordPad auch die TLS 1.0/1.1-Transportverschlüsselung als "veraltet" durch Microsoft eingestuft worden sei.
Seit dem 1. August 2023 war bereits bekannt, dass die TLS Versionen 1.0 und 1.1 in den Ruhestand geschickt werden sollen. Microsoft beginnt im September 2023 mit den Windows 11 Insider Builds, die Unterstützungen für Transportverschlüsselungen mit TLS 1.0 und 1.1 im Schannel-Protokoll abzuschalten. Ich hatte bereits zeitnah im Blog-Beitrag Windows: Microsoft will TLS 1.0 und 1.1 bald standardmäßig im Schannel-Protokoll deaktivieren darüber berichtet.
Transport Layer Security (TLS)
Transport Layer Security (TLS) ist das gängigste Internetprotokoll für die Einrichtung eines verschlüsselten Kommunikationskanals zwischen einem Client und einem Server. Allerdings gibt es aus historischen Gründen verschiedene Varianten TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3. Ein Problem sind inzwischen die veralteten Varianten TLS 1.0 und TLS 1.1.
TLS 1.0/1.1 sind veraltet
Das alte Protokoll TLS 1.0 stammt aus dem Jahr 1999, und ist nicht mehr als sicher einzustufen, da im Laufe der Zeit mehrere Sicherheitslücken in dieser Protokollversion gefunden wurden. Das "neuere" TLS 1.1 wurde 2006 veröffentlicht und brachte einige Sicherheitsverbesserungen mit sich. Allerdings wurde nie eine breite Akzeptanz für TLS 1.1 erreicht. Inzwischen wurden TLS 1.2 und TLS 1.3 eingeführt und sind breit im Einsatz. TLS-Implementierungen versuchen die Verbindungen mit der höchsten verfügbaren Protokollversion auszuhandeln. Aber es gibt Fallback-Mechanismen, falls die Kommunikationspartner ein Protokoll nicht unterstützen.
Anzeige
In den letzten Jahren haben Internet-Standards und Regulierungsbehörden die TLS-Versionen 1.0 und 1.1 aufgrund einer Reihe von Sicherheitsproblemen als veraltet eingestuft oder nicht mehr zugelassen. Nun wird es an der Zeit, die alten Protokolle aus dem Verkehr zu ziehen.
Nächste Erinnerung Microsofts
Zum 1. September 2023 hat Microsoft auf der Windows Release Health-Seite im Message Center den Eintrag TLS 1.0 and TLS 1.1 will be disabled in future Windows OSes veröffentlicht. Hier die Kernpunkte:
- Microsoft wird bei zukünftigen Versionen von Windows die TLS-Versionen 1.0 und 1.1 standardmäßig deaktivieren. Diese Änderung gilt nur für zukünftige neue Windows-Betriebssysteme, sowohl für Client- als auch für Server-Editionen.
- Bereits erschienene Windows-Versionen sind von dieser Änderung nicht betroffen.
- In den Windows 11 Insider Preview-Builds, die im September 2023 erscheinen, sind die TLS-Versionen 1.0 und 1.1 standardmäßig deaktiviert.
Microsoft erwartet, dass Privatanwender keine Probleme durch diese Änderung bekommen. In Unternehmen müssen Administratoren testen, ob eventuell Kommunikationsverbindungen Probleme bereiten. Ich hatte im Blog-Beitrag TLS 1.0/1.1-Abschaltung: Schannel Event-Logging zum Monitoring aktivieren darauf hingewiesen, wie man das Schannel-Event-Logging zum Monitoring in Windows aktivieren kann. Bei Problemen besteht für Administratoren die Möglichkeit, TLS 1.0 oder TLS 1.1 wieder zu aktivieren, um die Kompatibilität zu gewährleisten. Microsoft hat diesen Techcommunity-Artikel mit weiteren Information zu diesem Artikel dazu veröffentlicht.
Ähnliche Artikel:
Übersicht: TLS-Support in Windows
NSA-Info zu obsoleten TLS-Konfigurationen
Raccoon-Angriff hebelt TLS-Verschlüsselung aus
Windows-Support für Paket-Download mit TLS 1.0/1.1 endet (24.9.2020)
Windows: Microsoft will TLS 1.0 und 1.1 bald standardmäßig im Schannel-Protokoll deaktivieren
TLS 1.0/1.1-Abschaltung: Schannel Event-Logging zum Monitoring aktivieren
WTF von Ryan Ries: Edge verwendet eigene TLS-Zertifikatsprüfungen
Änderungen im Edge: Änderung bei TLS-Zertifikaten, kein Uninstall mehr, Server 2012/R2-Support
Windows 10: Achtung vor einem möglichen TLS-Desaster zum Oktober 2022-Patchday
Citrix-Verbindungen nach Windows-Update KB5018410 (Oktober 2022) gestört (TLS-Problem)
Fix des SSL-/TLS-Verbindungsproblems: Stand der Sonderupdates und betroffene Anwendungen (21.10.2022)
Anzeige
Ich finde es immer wieder kacke, wenn irgendwelche "Veralteten" Protokolle Entfernt oder Abgeschaltet werden.
Klar, neu, besser, sicher.
Aber was ist, wenn ich in einer Isolierten Umgebung solche Dinge weiter betreiben will.
z.b. die SMB 1.0 Unterstützung unter Windows 10, welche sich aber zum Glück einfach Aktivieren lässt.
Es ist nur Ärgerlich, wenn solche Dinge nicht so einfach gehen.
Ebenso habe ich das Problem, das ich ein Medion Nas habe, welches eigentlich sehr gut Funktioniert.
Aber, ich kann es nicht Konfigurieren, weil ich dafür einen Browser mit Flash benötige.
Das Problem ist, das sich Absolut kein Flash mehr irgendwie irgendwo Installieren lässt.
Medion sagt dazu nur, man müsse sich ein neues Nas Kaufen.
Was soll der Quatsch!
Nach "Flash-player-sa" googlen und im InternetArchive den
"Flash Player Standalone (SA)" finden. Gibt es auch unter Linux.
Wurde hier mal genannt, wenn ich mich recht entsinne.
SSL / TLS Modi könnte man auch per SSL Offloading Proxy "umkonvertieren"
WWW Proxy mir SSL Offloading Client
war nicht in alten Windows 7 Versionen der Flashplayer sogar mitgeliefert?
Dann einfach das alte OS in einer VM laufen lassen und von da aus das NAS konfigurieren.
Man sollte halt auch zumindest minimal mit der Zeit gehen. Du kannst nicht erwarten dass sich Technologie nicht weiter entwickelt und alles auf ewig kompatibel bleibt.
Also soll ich ein Voll Funktionierendes Gerät Entsorgen,
weil der Hersteller es nicht für nötigt hält, einfach sein Webmenü auf ein anderes System umzustellen.
Oder Alternativ einfach ein kleines Windows programm Entwickeln, welches die Konfiguration übernimmt.