Software::Browser

Firefox lässt TLS 1.0 und 1.1 langsam sterben

Wie die Entwickler des Webbrowsers Firefox bekannt gaben, planen sie, die Unterstützung von TLS 1.0 und 1.1 in den kommenden Nightly-Varianten zu deaktivieren. Die Maßnahme ist bereits seit langen geplant und das Resultat der gemeinsamen Strategie der Browserhersteller, das unsichere Protokoll sukzessive aus allen Produkten zu eliminieren.

Mozilla

Bereits vor knapp einem Jahr hat die Internet Engineering Task Force (IETF) das Protokoll Transport Layer Security 1.3 (TLS) freigegeben . TLS 1.3 wurde im März 2018 zur Standardisierung vorgeschlagen und im August finalisiert. Die meisten Browserhersteller zogen allerdings die Implementierung vor und gaben bereits bei der Freigabe bekannt, TLS 1.3 zu unterstützen. Dazu musste lediglich der jeweils kontaktierte Server das Protokoll in der neuen Version unterstützen.

Einer der Gründe für das rasche Vorgehen war die zunehmende Anfälligkeit der Vorgängerprotokolle auf Angriffe. So waren beispielsweise die Version 1.0 und 1.1 von TLS unter anderem anfällig für Angriffe wie POODLE, der bereits 2014 zur Ablösung von SSL 3.0 führte. Weiterhin besteht Anfälligkeit für Downgrade-Angriffe, bei denen Angreifer versuchen, ältere Versionen der Protokolle zu erzwingen und damit bekannte Exploits auszunutzen. Die meisten Browserhersteller kündigten daraufhin an, die Unterstützung für TLS 1.0 und 1.1 ab dem Frühjahr 2020 vollständig zu deaktivieren. Seitenbetreiber, die eine neue Version von TLS noch nicht unterstützen, sollten deshalb ihre Systeme aktualisieren.

Nachdem Google bereits 2018 konkrete Zeitangaben machte und ankündigte, die beiden Protokolle ab Chrome 72 als veraltet zu erklären, hat nun auch Mozilla anfangen, TLS 1.0 und 1.1 aus der Firefox zu entfernen. Wie Martin Thomson Ende der vergangenen Woche in einer Fehlermeldung bekannt gab, ist das Team nun in Begriff, beide Protokolle in den Nightly-Builds zu deaktivieren. Als Grund nennt der Entwickler unter anderem den Wunsch von Mozilla, sowohl die Nutzer, als auch die Seitenbetreiber darauf hinzuweisen, dass sie ihre Systeme alsbald aktualisieren sollten. Die alten TLS-Versionen werden dann schrittweise auch in den stabilen Versionen des Browsers deaktiviert, bis sie schlussendlich komplett bis März 2020 deaktiviert werden.