Login
Newsletter
Werbung

Di, 8. August 2017, 08:30

Software::Distributionen::Debian

Debian deaktiviert TLS 1.0 und 1.1

Die neue Version OpenSSL 1.1.0f-4, die in Debian Unstable verfügbar ist, deaktiviert die Verschlüsselungsprotokolle TLS 1.0 und 1.1.

Software in the Public Interest (SPI)

TLS steht für Transport Layer Security, lief früher unter der Bezeichnung Secure Sockets Layer (SSL) und ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Es wird hauptsächlich mit HTTPS eingesetzt. Neben OpenSSL existieren noch Implementierungen in LibreSSL und GnuTLS. Die jetzt bei Debian ausgeschalteten Protokollversionen sind durch verschiedene Angriffe verwundbar. So unterstützt TLS 1.0 noch den Hash SHA1, der bereits seit mehr als zehn Jahren als unsicher gilt. Zudem ist TLS 1.0 anfällig für CBC Chaining- und Padding Oracle Angriffe. Trotzdem dienen TLS 1.0/1.1 noch auf der Mehrzahl der Webseiten als Fallback.

Die Verwendung von TLS 1.1 mit HTTPS war im Februar 2017 noch sehr hoch. Das unterbindet nun OpenSSL 1.1.0f-4, die aktuelle Version in Debian Unstable, was die Nutzung von SSL/TLS 1.0 und 1.1. angeht. Damit verbleibt momentan nur das 2008 freigegebene TLS 1.2 als unterstützte Version des Protokolls. Die serverseitige Unterstützung von TLS 1.2 liegt laut neuesten Untersuchungen bei fast 90 Prozent. TLS 1.3 sollte voraussichtlich Anfang 2017 erscheinen, lässt aber noch auf sich warten. Die TLS-Arbeitsgruppe hat zwar die Protokollversion 1.3 fertiggestellt, allerdings gibt eine auffällig hohe Fehlerrate beim Handshake Anlass zu weiteren Tests, bevor die Version standardisiert werden kann.

Debian-Entwickler Kurt Roeckx schrieb im Changelog zum neuen Paket, ihm sei bewusst, das mit der Deaktivierung von TLS 1.0/1.1 Pakete, die noch immer kein TLS 1.2 unterstützen, Probleme bereiten werden, die hoffentlich bis zur Veröffentlichung von Debian 10 »Buster« beseitigt sein werden. Die Betreuer von Paketen, die TLS 1.2 noch nicht unterstützen, sind aufgerufen, dies möglichst bald zu ändern. Roeckx hofft, das er die jetzt deaktivierten Protokolle für Buster nicht wieder reaktivieren muss. Für Anwender von Debian Unstable und demnächst auch Debian Testing bedeutet dies, aktuelle Browser-Versionen zu benutzen, die TLS 1.2 unterstützen. Eine Liste, welche Browser kompatibel sind, bietet Qualsys SSL Labs. Android unterstützt TLS 1.2 erst seit Version 4.4.2, standardmäßig eingeschaltet erst ab Android 5.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung