Modernisierung der SSL/TLS-Verschlüsselung zum 31.12.2019

Die Entwickler der Webbrowser Firefox, Chrome, Safari, Edge und Internet Explorer haben im November angekündigt die für HTTPS verwendeten veralteten SSL/TLS- Verschlüsselungsprotokolle TLSv1.0 und TLSv1.1 zu Beginn des Jahres 2020 zu deaktivieren und nur noch TLSv1.2 (und neuer) zuzulassen. Wenngleich dieser Schritt möglicherweise sehr kurzfristig scheint, so ist dieser eigentlich überfällig, um bekannte Sicherheitsprobleme von TLSv1.0 und TLSv1.1 endgültig zu beseitigen.

Bei unseren Cloud-Diensten (z.B. Webhosting, Groupware-Cloud oder ownCloud SaaS) unterstützen wir schon lange TLSv1.2, so dass wir – im Einklang mit den Webbrowsern – die Unterstützung von TLSv1.0 und TLSv1.1 zum 31.12.2019 einstellen werden.

Was bedeutet das ganz konkret für Sie? Was bedeutet das für Ihre Kunden, wenn Sie HTTPS bei Ihrer Webseite einsetzen? In den allermeisten Fällen müssen Sie nichts tun, da Sie und Ihre Kunden vermutlich bereits heute TLSv1.2 nutzen, ohne es zu wissen.

Technischer ausgedrückt, müssen Sie sich keine Gedanken machen beim Einsatz von:

• Firefox 27 (oder neuer)
• Chrome 31 (oder neuer)
• Opera 20 (oder neuer)
• Safari 9 (oder neuer)
• Edge (oder neuer)
• Internet Explorer 11 (oder neuer) unter Windows 7 (oder neuer)
• Android 4.4.2 (oder neuer)
• iOS 9 (oder neuer)
• Java 8u31 (oder neuer)
• OpenSSL 1.0.1 (oder neuer)

Sollten bei Ihnen noch ältere Versionen zum Einsatz kommen, ist ein Wechsel auf eine neuere Version dringend erforderlich, da ansonsten nach dem 31.12.2019 keine Zugriffe mehr auf unsere Cloud-Dienste möglich sind und Ihre IT-Sicherheit bereits jetzt stark gefährdet ist.

Und sollten Ihre Kunden noch einen veralteten Webbrowser einsetzen, wird nach dem 31.12.2019 kein Zugriff mehr per HTTPS auf Ihre Webseite möglich sein – und auf andere gängige Webseiten ebenfalls nicht mehr. Wenn wir die schwache Verschlüsselung zukünftig erlauben würden, könnten wir die im Rahmen der DS-GVO geforderte sichere Verschlüsselung nicht mehr gewährleisten.

Nachdem allerdings nur ca. 0,5% bis 1,0% aller HTTPS-Verbindungen per Webbrowser derzeit noch TLSv1.0 oder TLSv1.1 nutzen (auf Basis der Telemetrie-Daten der Webbrowser), ist es ein deutliches Signal, dass ein betroffener Benutzer bzw. Kunde sich dringend um die Sicherheit der IT kümmern muss.