Ende November habe ich in einem Blogeintrag bezug auf ein Angrifsszenario auf das SSL-Protokoll genommen das SSL und TLS betrifft; den Beitrag findet ihr hier.
Knapp ein halbes Jahr und unzählige Versionen später, gibt es auch weiterhin keine Änderung bei den Herstellern der diversen Browser, so dass bis auf den InternetExplorer und Opera keiner die aktuelleren Standards TLS 1.1 und TLS 1.2 unterstützt.
Solange diese nicht endlich aufwachen und etwas tun, werden auch weiterhin die Webserver die alten Protokolle unterstützen müssen und sind angreifbar durch verschiedenste Sicherheitslücken. Mir ist natürlich klar, dass auch die neueste Software nie fehlerfrei sein kann und weiterhin ein potentielles Risiko besteht, aber warum macht man es Angreifern durch den Einsatz veralteter Techniken so leicht?
Das „Never Touch A Running System“ ist im 21. Jahrhundert einfach überholt und nicht mehr gültig!
Welche Browser unterstützen TLS 1.2 oder 1.1 ?
- Firefox 12 – nein, nein
- Chrome 19 – nein, nein
- Safari 5.1 – nein, nein
- Opera 11 – ja, ja (standardmäßig deaktiviert)
- IE (seit v7) – ja, ja (standardmäßig deaktiviert)
Beim InternetExplorer und Opera ist die Unterstützung jedoch standardmäßig für beide Versionen deaktiviert.
TLS-Aktivierung im IE:
- Menü „Extras“ wählen und auf „Internetoptionen“ klicken
- Den Reiter „Erweitert“ wählen
- Zur Gruppe „Sicherheit“ scrollen
- Die Kontrollkästchen „TLS 1.1 verwenden“ und „TLS 1.2 verwenden“ aktivieren
- Mit „OK“ die Einstellungen speichern
TLS-Aktivierung im Opera:
- Menü „Extras“ -> „Einstellungen“ anklicken
- Im Reiter „Erweitert“ den Menüpunkt Sicherheit anklicken
- Schaltfläche „Sicherheitsprotokolle“ klicken
- Dort die Haken bei „TLS 1.1 aktivieren“ und „TLS 1.2 aktivieren“ setzen
- Mit „OK“ jeweils die Einstellungen speichern
Schreibe einen Kommentar