Änderung bei HTTPS-Verbindungen zum Forenserver

  • Es wird vermutlich niemandem auffallen (laut Logauswertung der letzten drei Monate benutzt niemand mehr so alte Clients), aber ich habe gemäß der aktuellen Empfehlungen Verbindungen zum Forenserver mit TLS älter als Version 1.2 abgeschaltet. Wenn also irgendwer merkt, dass sein Uralt-Droid oder Win-XP-Rechner mit IE nicht mehr ans Forum kommt - Sorry... Ein etwas weniger veralteter Browser wird helfen.

  • Bernd Odenwald TLSv1.1 ist schon ewig veraltet und mittlerweile als ziemlich unsicher bekannt. Daher wird empfohlen, es (und alle Vorgänger, soweit nicht sowieso schon abgeschaltet) zu deaktivieren, um bestimmte Angriffe gegen die Verschlüsselung zu verhindern.


    Technisch geht es darum, dass ein Angreifer den Verbindungsversuch mit den aktuellen Protokollversionen verhindert, aber die Verbindung mit dem alten Protokoll zulässt. Damit kommt die Verbindung zwar zu Stande und dein Browser lädt die Seite normal, aber die Verschlüsselung ist wesentlich leichter zu knacken.


    Mittelfristig werde ich sicher auch einige der schwächeren Ciphersuites aus TLSv1.2 abschalten (alles ohne perfect forward secrecy und die 128-bit ciphers), aber da brauche ich noch mehr Daten, um nicht versehentlich einen allzu großen Flurschaden zu verursachen. Längerfristig wird sicher auch TLSv1.2 komplett abgeschaltet - das ist aber nicht akut und wird vermutlich erst in ein paar Jahren passieren.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!