Unsichere Verschlüsselung via TLS 1.0/1.1 in Firefox reaktiviert - vorübergehend
Um den Zugriff auf COVID-19-Informationen zu gewährleisten, hat Mozilla TLS 1.0/1.1 in Firefox wieder eingeschaltet.
(Bild: PixieMe/Shutterstock.com)
Offensichtlich setzen einige Websites der US-Regierung, die über die Corona-Krise informieren, noch ausschließlich die schon lange als unsicher geltenden Verschlüsselungsprotokolle TLS 1.0 und 1.1 ein. Das unterstützen einige aktuelle Webbrowser aber nicht mehr und die Seiten können nicht mehr aufgerufen werden. Nun hat Mozilla die veralteten Versionen in Firefox vorübergehend reaktiviert.
Erst Anfang März verbannte Mozilla TLS 1.0/1.1 endgültig aus Firefox 74. Mit dieser Version konnte man ausschließlich Websites ab TLS 1.2 aufrufen. Die Reaktivierung von TLS 1.0/1.1 haben die Firefox-Entwickler in einer aktualisierten Changelog-Meldung zu Firefox 74 verkündet. Welche Regierungswebsites im Detail auf die unsicheren Verschlüsselungsprotokolle setzen, geht aus der Meldung nicht hervor. Unbekannt ist auch, wann die Entwickler die Unterstützung wieder deaktivieren.
Deutsche Regierungswebsites
Eine kurze Stichprobe hierzulande zeichnet ein sicheres Bild: Das Gesundheitsamt Niedersachsen unterstützt zwar noch TLS 1.1, aber eben auch TLS 1.2. Hier hätte man die Seite problemlos aufrufen können. Das Bundesgesundheitsministerium macht es noch besser und bietet ausschließlich TLS 1.2 an. Am vorbildlichsten präsentiert sich die Website vom Robert Koch Institut: Neben TLS 1.2 kommt hier sogar schon das aktuelle TLS 1.3 zum Einsatz. Damit erfüllen die Websites die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definierten Mindeststandards.
Kann das weg? Ja, unbedingt!
Neben Firefox verabschieden sich auch andere Webbrowser wie Chrome, Edge und Safari von den veralteten Verschlüsselungsprotokollen. Bei Chrome soll es in der jüngst aufgrund der Corona-Krise verschobenen Version 81 der Fall sein. Schon jetzt zeigen die Webbrowser Warnungen an, wenn man Websites mit TLS 1.0/1.1 besucht.
Aktuellen Zahlen von Netcraft zufolge setzen derzeit weltweit noch mehr als 850.000 Websites auf TLS 1.0/1.1. Diese Protokolle sind unter anderem für die BEAST- und Poodle-Attacken anfällig. (des)
