Microsoft regt zum Umstieg auf TLS 1.2. an
02.08.2017 | Petra Alm
Die Microsoft-Korporation will ihre Kunden – vor allem was die Firmen betrifft – zum Umstieg auf die neueste Version des Protokolls TLS zwingen. Den älteren Windows Server 2008 wird der Hersteller am Ende dieses Sommers sogar um eine Unterstützung des Protokolls TLS 1.2. erweitern. Der Grund besteht in der schon unausweichlichen Verbesserung der Absicherung, die oft auf dem zwei Dekaden alten und deshalb nicht mehr sicheren Protokoll TLS 1.0. stagniert. Das Ende der Unterstützung auf der Windows-Plattform soll den Nutzern eine Anleitung direkt von dem Redmonder-Hauptsitz vereinfachen.
Die Unterstützung von TLS 1.0. wird bald beendet
Das Unternehmen deklariert, dass seine Kunden möglichst schnell von TLS 1.0. auf TLS 1.2. überwechseln sollten. Dazu wird er sie nicht nur auffordern, sondern sogar zwingen – durch die beschränkte Unterstützung von TLS 1.0 und TLS 1.1. in den aktuellen Produkten. Die bestehende, jüngste Version von TLS 1.2. stammt aus dem Jahre 2008; der Nachfolger TLS 1.3. nähert sich auf den Software-Geräten erst an dessen Verbreitung an.
Das uralte SSLv3 konnte nach verschiedenen Sicherheitsvorfällen erfolgreich ausgerottet werden, aber die Mehrheit der (nicht nur Firmen-) Systeme unterstützt und verwendet alte und angreifbare Protokolle auch weiterhin. TLS 1.0. wird beispielsweise von POODLE bedroht (die ursprüngliche Version hat nur SSLv3 gefährdet, die neuere Ausgabe stellt aber ein Risiko auch für die TLS-Protokolle dar).
Ein Problem in dieser gottgefälligen Absicht besteht in der Absenz von TLS 1.2. in älteren Produkten. Betroffen sind konkret die Systeme Windows Vista, Windows 7 und Windows Server 2008. Vista und WS 2008 unterstützen TLS 1.2. überhaupt nicht, die Funktion gibt es erst seit Windows 7 und WS 2008 R2 – hier ist sie jedoch nicht aktiviert.
Unterstützung von SSL und TLS auf Windows und Windows Server. Quelle: blogs.microsoft.com
Von der Übersicht der SSL/TLS oben geht deutlich hervor, dass TLS 1.2. auf dem Windows Server 2008 ergänzt werden muss. Auf dem WS 2012 und neueren Systemen ist die Unterstützung von TLS 1.2. in der Default-Einstellung bereits eingeschaltet.
Falls Sie TLS 1.2. aus der Position eines Nutzers und nicht eines Administrators interessiert, können Sie die Fähigkeiten Ihres Browsers in dem Test SSL/TLS Capabilities of Your Browser von SSLlabs überprüfen. Ähnlich wie in dem SSL/TLS Servertest sehen Sie Versionen von Protokollen, mit welchen der Browser zusammenarbeiten kann. Der Test kann Sie auch auf eine eventuelle Vulnerabilität Ihres Browsers hinweisen. Falls Ihr Browser – beziehungsweise Operationssystem – mit TLS 1.2. nicht kommunizieren kann, sollten Sie ein Upgrade auf eine neuere Version des Systems erwägen.
WS 2008 wird dieses Jahr um TLS 1.2. erweitert
Das Hauptproblem können wir also exakt benennen – Absenz der Unterstützung von TLS 1.2. auf dem Windows Server 2008. Heute wird der ältere WS 2008 nur im Rahmen einer erweiterten Funktion unterstützt, die im Jahre 2020 endet – doch trotzdem wird er noch immer oft verwendet. Die erweiterte Unterstützung bedeutet, dass Microsoft Patches von Lücken und Vulnerabilitäten bis 2020 zwar bereitstellt, das Produkt wird aber nicht weiterentwickelt.
Doch trotzdem erwartet WS 2008 im Rahmen der Aktualisierung ein Update, das die Nutzung von TLS 1.2. ermöglichen wird. Seine Nutzer werden sich über das momentan modernste Protokoll TLS anstatt des alten TLS 1.0. freuen können. Die Serveradministratoren sollten jedoch auf jeden Fall ein Upgrade auf dem Windows Server 12 oder 2016 durchführen, denn dieser wird ihnen in IIS die Verwaltung von SSL-Zertifikaten deutlich vereinfachen. Der größte Unterschied besteht in der Unterstützung von SNI und darin, dass den einzelnen SSL-Zertifikaten keine IP Adresse mehr zugeordnet werden muss.
Mit dem Umstieg hilft Microsoft selbst
Microsoft ist sich der Komplikationen mit dem Ende des viel verbreiteten Protokolls, dass einen Bestandteil von allen MS-Produkten bildet, bewusst. Den Administratoren möchte der Hersteller mit dem Handbuch Solving the TLS 1.0. Problem helfen, das ein Leitfaden werden möchte, der den Abschied von TLS 1.0. vereinfachen wird.
Quellen
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de