Abschaltung veralteter kryptographischer Transport Layer Security Protokolle (TLS)

24.08.2020

Abschaltung veralteter kryptographischer Transport Layer Security Protokolle (TLS)

TLS 1.0 und TLS 1.1 zum 1. September 2020 deaktiviert

Die Verschlüsselungsprotokolle TLS 1.0 und TLS 1.1 bieten nur noch einen eingeschränkten Schutz bei der Datenübertragung. Auf Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellt das HRZ daher zum 1. September 2020 alle externen Services mindestens auf die aktuellere Version TLS 1.2 um. TLS 1.0 und TLS 1.1 werden bei allen diesen Services deaktiviert.

Alle aktuellen und mit Updates unterstützten Server- und Klientenbetriebssysteme unterstützen TLS 1.2 neben den alten Protokollversionen. Die Umstellung wird daher für die meisten Nutzerinnen und Nutzer unbemerkt vonstatten gehen.

In einigen, im Folgenden aufgeführten Fällen könnten es jedoch nach Kenntnis des HRZ zu Schwierigkeiten kommen:

1. Klienten mit sehr alten Betriebssystemen

Wer hiervon betroffen ist, sollte – unabhängig von dieser Maßnahme – dringend ein Upgrade seines Betriebssystems durchführen, auch wenn dies die Anschaffung eines neuen Gerätes bedeutet. Denn die betroffenen Betriebssysteme erhalten bereits seit langer Zeit keine Updates mehr und stellen daher ein erhebliches IT-Sicherheitsrisiko dar.

Betroffene Betriebssysteme (u.a.):

  • Windows 7 vor SP1
  • macOS vor Version 10.12 (Sierra)
  • Android vor Version 5.0
  • iOS vor Version 9.3

Die oben genannten Betriebssystem Versionen unterstützen zwar bereits TLS 1.2, aber lediglich iOS 9.3 wird vom Hersteller noch mit Updates versorgt. Alle anderen sollten aus Sicherheitsgründen nicht mehr verwendet werden.

2. Server mit fest konfigurierten Protokollen

In Konfigurationsanleitungen für Serveranwendungen wird manchmal empfohlen, die Protokolle fest einzustellen. Gerade bei schon lange laufenden Installationen ist es denkbar, dass die vor einigen Jahren aktuelle Vorgabe ausschließlich TLS 1.0 oder TLS 1.1 zu nutzen, jetzt zum Problem wird. Wir empfehlen Ihnen die Einstellungen zu prüfen.

3. Multifunktionsdrucker und ähnliche Endgeräte

Multifunktionsdrucker (Drucker-Scanner-Kombinationen) haben häufig eine Scan-to-Mail-Funktion. Für den direkten E-Mail-Versand der gescannten Bilder muss der Scanner eine Verbindung zum E-Mailserver aufbauen. Leider unterstützen viele (vor allem ältere oder preisgünstige Geräte) die moderneren Verschlüsselungen nicht. Für Geräten, die davon betroffen sind, gibt es die Möglichkeit, entweder auf diese Funktion zu verzichten oder die Geräte zu ersetzen.

Temporäre Zwischenlösung bei Umstellungsproblemen auf TLS 1.2

Für den Fall, dass eine Umstellung der veralteten TLS Versionen auf TLS 1.2 aus technischen Gründen nicht rechtzeitig erfolgen kann, wird eine temporäre Zwischenlösung angeboten. Diese Option steht allerdings nur für 3 Monate, also bis einschließlich dem 30. November 2020 zur Verfügung. Wenn auf diese Variante zurückgegriffen wird, muss mit Performanceproblemen gerechnet werden. Um eine temporäre Zwischenlösung wahrzunehmen, senden Sie bitte eine E- Mail an .

nb

zur Liste