Im August 2018 genehmigte die IETF den TLS 1.3- Standard

TLS 1.0 und TLS 1.1 werden bald nicht mehr existieren. Die Firefox-Telemetrie zeigt bereits, dass diese Protokolle einen vernachlässigbaren Anteil des HTTPS-Verkehrs ausmachen: 1,11% bzw. 0,09%. Die überwiegende Mehrheit der Websites verwendet jetzt TLS 1.2. In den Jahren 2019 bis 2020 beabsichtigen alle führenden Browser, die Unterstützung für TLS 1.0 und TLS 1.1 vollständig einzustellen. Auf der Serverseite wird empfohlen, diese Protokolle jetzt zu deaktivieren.

Warum TLS 1.0 und 1.1 deaktivieren?

TLS 1.0 wird nächsten Januar 20 Jahre alt. Er hat seine Rolle erfüllt: Im Laufe der Jahre hat das Protokoll Milliarden, wenn nicht Billionen von Verbindungen verschlüsselt. Mit der Zeit wurde es besser zu verstehen, wie Verschlüsselungsprotokolle entworfen werden sollten. Erhöhte Anforderungen an die Zuverlässigkeit von Chiffren. Leider erfüllen TLS 1.0 und 1.1 diese Anforderungen nicht.

Es gibt einige Aspekte in TLS 1.0 und 1.1, die besorgniserregend sind, schreibt Mozilla Security Blog. Das Schlimmste ist, dass sie die Arbeit mit modernen kryptografischen Algorithmen nicht unterstützen. Zum Beispiel erfordern sie beim Händeschütteln notwendigerweise die Verwendung des SHA-1-Hash-Algorithmus. In diesen TLS-Versionen ist es nicht möglich, einen stärkeren Hash-Algorithmus für ServerKeyExchange- oder CertificateVerify-Signaturen zu installieren. Daher besteht der einzige Ausweg darin, auf die neue Version von TLS zu aktualisieren.

Am 14. September 2018 veröffentlichte die Internet Engineering Task Force (IETF) einen Entwurf eines offiziellen Dokuments, in dem die Verwendung von TLS 1.0 und 1.1 nicht empfohlen wird . Unter anderem wird erwähnt, dass ein SHA-1 mit einer kryptografischen Stärke von 2 ^ 77 nach modernen Standards nicht als sicher angesehen werden kann: "2 ^ 77 Operationen [für Angriffe] liegen unter der akzeptablen Sicherheitsgrenze."


Fragment einer IETF, die alte TLS verwirft

Das Dokument enthält detailliertere technische Informationen zu den Gründen für diese Entscheidung. Es handelt sich um den BEAST-Angriff (Browser Exploit Against SSL / TLS) auf TLS 1.0, nämlich Blockchiffren, bei dem der letzte Verschlüsselungsblock der vorherigen Nachricht (n-1) als Initialisierungsvektor für die Nachricht n verwendet wird.

TLS 1.1 wird zusammen mit TLS 1.0 auslaufen, da es sich nicht grundlegend unterscheidet und im Wesentlichen die gleichen Nachteile aufweist. In dieser Version wurden nur einige Einschränkungen von TLS 1.0 behoben, die auf andere Weise vermieden werden können (wir sprechen wieder von einem BEAST-Angriff).

Gemäß den Empfehlungen von NIST wurden Webdienste aufgefordert, die Unterstützung für ältere TLS-Versionen bis Juli 2018 zu entfernen. Dies wurde von Amazon, CloudFlare, GitHub, KeyCDN, PayPal und vielen anderen Webdiensten durchgeführt.

Abschaltdaten

Die Entwickler aller führenden Browser stimmten zu, die IETF-Empfehlungen einzuhalten.

Der Chrome-Browser ist der erste, der die Unterstützung älterer TLS-Versionen verweigert. Die Entwickler planen, den Prozess mit der Version von Chrome 72 zu starten, die im Januar 2019 veröffentlicht wird: Ab sofort wird in der DevTools-Konsole eine Warnung für Websites mit veralteten Protokollen angezeigt. Ein vollständiges Herunterfahren erfolgt in der Version Chrome 81, die im März 2020 veröffentlicht werden soll (vorläufige Versionen ab Januar 2020).

Microsoft verspricht , Protokolle "im ersten Halbjahr 2020" zu deaktivieren. Mozilla kündigte an , TLS 1.0 und 1.1 in Firefox im März 2020 zu deaktivieren. Apple plant, die Unterstützung für Safari-Browser im März 2020 zu entfernen.

Pressemitteilungen von Entwicklern aller führenden Browser waren sehr koordiniert:

• Ankündigung eines Chrome-Entwicklers
• Firefox-Ankündigung
• Kantenansage
• WebKit-Ankündigung

Modernes TLS 1.2-Profil

Gemäß der IETF-Empfehlung sollte die kryptografische Mindestbasis für HTTPS-Verbindungen TLS 1.2 sein. Laut Firefox-Telemetrie macht sie jetzt 93,12% des HTTPS-Verkehrs aus ( laut Qualys 94% ), sodass heute de facto Empfehlungen umgesetzt werden.


Verwenden von TLS-Versionen für alle HTTPS-Verbindungen in Firefox Beta 62, Telemetriedaten für August bis September 2018

TLS 1.2 ist eine Voraussetzung für HTTP / 2, wodurch die Site-Leistung verbessert wird . Mozilla empfiehlt die Verwendung des modernen TLS 1.2- Profils auf der Serverseite, wenn keine speziellen Anforderungen bestehen. Das moderne Profil bietet ein hohes Maß an Sicherheit und umfasst die folgenden Parameter:

• Verschlüsselungssuiten: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHEC-E8-EEC-E12-E12-EEC-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12-E12 -RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256
• Elliptische Kurven für TLS: prime256v1, secp384r1, secp521r1
• Zertifikatstyp: ECDSA
• Zertifikat elliptische Kurven: prime256v1, secp384r1, secp521r1
• Zertifikatsignatur: sha256WithRSAEncryption, ecdsa-with-SHA256, ecdsa-with-SHA384, ecdsa-with-SHA512
• RSA-Schlüsselgröße: 2048 (falls kein ECDSA vorhanden)
• DH-Parametergröße: Keine (vollständig deaktiviert)
• ECDH-Parametergröße: 256
• HSTS: maximales Alter = 15768000
• Zertifikatwechsel: Nein

Experten stellen fest, dass nur noch wenige Zertifizierungsstellen ECDSA-Signaturen unterstützen. Daher sind RSA-Signaturen für ECDSA-Zertifikate in den Empfehlungen zulässig.

Das DHE-Schlüsselaustauschprotokoll wird vollständig aus der Verschlüsselungssuite entfernt, da es langsamer als ECDHE ist und alle modernen Clients elliptische Kurven unterstützen.

Der SHA1-Signaturalgorithmus wird ebenfalls vollständig aus dem Satz entfernt: Stattdessen werden SHA384 für AES256 und SHA256 für AES128 verwendet.

Diese Konfiguration wird von den Versionen Firefox 27, Chrome 30, IE 11 unter Windows 7, Edge, Opera 17, Safari 9, Android 5.0 und Java 8 unterstützt. Wenn Sie Unterstützung für ältere Browser benötigen, müssen die Anforderungen für die Cipher Suite auf das "durchschnittliche" Niveau reduziert werden wird als Standardstufe festgelegt. Nur im extremsten Fall wird empfohlen, auf eine abwärtskompatible Verschlüsselungssuite mit Unterstützung für Windows XP / IE6 umzusteigen.

Leider erfüllen heute nicht alle Anbieter die Empfehlungen für die sichere Konfiguration von TLS 1.2.

Am 24. September 2018 veröffentlichte arXiv.org eine akademische Studie zu diesem Problem , die von Forschern der Concordia University in Montreal (Kanada) durchgeführt wurde. Die Autoren analysierten das Verhalten von 17 Versionen von 13 Netzwerk-TLS-Tools verschiedener Klassen (kostenlos, Open Source, Low und High Level).



Die Schlussfolgerungen sind enttäuschend: Fast alle betrachteten Produkte waren anfällig:

Beispielsweise stellte sich heraus, dass WebTitan, UserGate und Comodo keine TLS-Validierung durchführten. Comodo und Endian betrachten standardmäßig alle zu überprüfenden Zertifikate, und Cacheguard akzeptiert selbstsignierte TLS-Zertifikate.

Trend Micro, McAfee und Cacheguard verwenden vorgenerierte Schlüsselpaare (obwohl in der McAfee-Dokumentation etwas anderes angegeben ist). Vier Geräte - von UserGate, WebTitan, Microsoft und Comodo - akzeptieren ihre eigenen Zertifikate für extern bereitgestellte Inhalte. Private Schlüssel werden auf dem Gerät gespeichert und können mithilfe anderer Sicherheitsanfälligkeiten problemlos extrahiert werden.

Der BEAST-Angriff ermöglicht Authentifizierungscookies für TLS-Benutzer von Microsoft, Cisco und TrendMicro, während Sophos-, Cacheguard-, OpenSense-, Comodo- und Endian-Clients RSA-512-Zertifikate akzeptieren, für die private Schlüssel problemlos vier Stunden lang gefälscht werden können.

Die Zukunft für TLS 1.3

Im August 2018 genehmigte die IETF den TLS 1.3- Standard, der in Habré ausführlich beschrieben wurde . Wichtige Neuerungen in der neuen Version:

• neues Handshake-Protokoll: Der Prozess ist aufgrund der Kombination mehrerer Schritte doppelt so schnell, der Handshake-Mechanismus ist sicherer geworden, da die Entwickler alle Algorithmen gelöscht haben, die keine AEAD-Modi der Blockverschlüsselung verwenden.
• neuer Schlüsselgenerierungsprozess unter Verwendung der HACDF-HMAC (Extract-and-Expand Key Derivation Function);
• Entfernen von Chiffresuiten mithilfe von RSA- oder DH-Schlüsselaustausch, CBC-Modus und SHA-1.

Jetzt unterstützt Version 1.3 in der vorläufigen Version Chrome und Firefox. Laut Telemetrie stellt der Firefox-Browser jetzt mehr Verbindungen unter TLS 1.3 her als unter TLS 1.0 und 1.1.

Es ist klar, dass die Aktualisierung eines der wichtigsten Protokolle viele Websites betrifft und lange dauert. Infolgedessen wird das Internet jedoch sicherer.

---