Das die Verschlüsselung via TLS 1.0/1.1 unsicher und aus der Zeit gefallen ist, daran gibt es keinen Zweifel. Unsichere Verschlüsselung via TLS 1.0/1.1 ist auch gar nicht mehr notwendig. Diverse Browser-Hersteller wollen jetzt auf die Unterstützung von TLS 1.0/1.1 verzichten. Darüber berichtet das BSI im Mindeststandards-Bund Newsletter. Das ist wichtig, gut und längst überfällig. Für ein sichereres Internet ist eine, State-of-the-Art Verschlüsselung unerlässlich.
So sollen u. a. die Browser Chrome, Safari, Edge und Firefox keine Unterstützung mehr für Verschlüsselung via TLS 1.0/1.1 bieten.
TLS also Transport Layer Security ist ein Übertragungs-Schutz. Das Protokoll ermöglicht eine verschlüsselte Übertragung von Informationen. Damit zielt der Einsatz von TLS auf die Schutzwerte Vertraulichkeit und Integrität ab.
Das BSI schreibt den Einsatz von TLS 1.2 in Verbindung mit Perfect Forward Secrecy (PFS) vor. Alternativ kann auch TLS 1.3 mit PFS eingesetzt werden. PFS ist eine Eigenschaft von Schlüsselaustausch-Protokollen. Mit PFS kann der verwendete Sitzungs-Schlüssel nach Ende der Sitzung nicht mehr rekonstruiert werden.
Leider rudert Mozilla hier teilweise wieder zurück. Grund ist das Corona-Virus – wie dieser heise-Artikel zeigt: externer Link. Demnach setzen einige Webseiten der US-Regierung auf die Unsichere Verschlüsselung via TLS 1.0/1.1.
Laut Netcraft setzen weltweit noch leider noch 850.000 Webseiten auf die unsicheren Protokolle: externer Link. TLS 1.0 ist u. a. anfällig gegen sogenannte BEAST-Angriffe. Dabei können verschlüsselte Cookies entschlüsselt werden.
Ich halte das für einen fatalen Fehler! Die Sicherheit darf insbesonder in den aktuellen Zeiten nicht auf der Strecke bleiben. Es ist also an der US-Regierung hier nachzubessern und zwar asap.
Und mal ehrlich da sind genügend Mittel vorhanden, um das rasch umzusetzen. Der Staat hat die Aufgabe seine Bürger zu schützen, also los!