Das es mit den Upgrades leider nicht so einfach ist oder dauert, hängt oft leider daran, dass sich das OS nicht einfach mit einem neuen openssl bestücken lässt, sondern ein komplett neues OS installiert werden muss. Und das kann man dann auch erst nutzen, wenn alle andere Dienste auch upgedated werden, zumindestens beim Serverhousing.
Als Admin ist schnell ein neues OS bereitgestellt, nur muss der Endkunde das auch mitmachen und zumeist seine CM-Systeme, APIs etc zumindestens Testen oder durch eine Agentur umschreiben lassen, damit die Systeme mit einem dann auch neuen PHP, MariaDB, redis, python etc auch funktionieren.
Und das dauert und kostet.
Ich sehe es hier immer öfter, dass ein neues OS gar nicht in Nutzung gehen kann, weil die Agentur hängt und dann wird ein TSL 1.0 mal gleich ganz im Mailserver abgestellt, weil bayern.de oder manche Versicherungen keine Mails mit TLS 1.0 annehmen.
Nicht jeder Kunde will oder kann, trotz Empfehlung, dann auf einen vernünftigen Relay-Server ausweichen oder hängt an einem veralteten Exchange oder ähnlich.
Interressant finde ich noch die BSI-Empfehlung mit TLS 1.2 oder TLS 1.3
TLS 1.3 wird von einigen, aktuellen Linuxen noch gar nicht angeboten (CentOS 7 z.B.). Wenn jetzt ein Behörden-Admin nur Mails per TLS 1.3 annimmt, gibt es noch mehr Probleme.
Meines Wissen ist der RFC mit dem Fahrplan zur Abschaltung von TLS 1.0 und TLS 1.1 noch gar nicht fertig durch, das BSI ist da etwas vorschnell !
Das Posting wurde vom Benutzer editiert (29.04.2019 12:31).