Microsoft deaktiviert TLS 1.0 und 1.1 in künftigen Windows-Versionen

Die Protokolle für verschlüsselte Netzwerkverbindungen TLS 1.0 und 1.1 gelten als veraltet und unsicher. Microsoft deaktiviert sie ab diesem Monat standardmäßig in neueren Betriebssystemversionen und startet mit den Änderungen bei den Insider-Preview-Versionen. Die Änderungen stören den Betrieb einiger Anwendungen.

Im Windows Message Center hat Microsoft die Änderung angekündigt. Etwa die IETF habe bereits 2021 die Protokolle als veraltet eingestuft, da sie nur schwache Kryptografie, dafür jedoch reichlich Sicherheitslücken lieferten. Daher kommen künftige Windows-Versionen mit deaktivierten TLS-Versionen 1.0 und 1.1 daher. Die Änderung betreffe sowohl Clients als auch Server. Bereits veröffentlichte Betriebssysteme rührt das Unternehmen in dieser Hinsicht aber nicht an.

Microsoft: Option zur Reaktivierung von TLS 1.0 und 1.1 bleibt

Die Änderungen fangen bei der Windows-11-Vorschau im Insider-Kanal ab diesem September an. Allerdings haben die Entwickler die Möglichkeit geschaffen, die Optionen für TLS 1.0 und 1.1 wieder zu reaktivieren. Das solle Nutzerinnen und Nutzer unterstützen, die aus Kompatibilitätsgründen noch die veralteten Protokolle nutzen müssen.

In der Techcommunity hat Microsoft einen detaillierteren Artikel dazu veröffentlicht. Demnach ließen sich etwa in den Windows-Ereignisprotokollen Anwendungen aufspüren, die aufgrund der Änderungen Fehler produzierten. Die Event-ID 36871 mit beispielhaft einem Meldungstext der Art "A fatal error occurred while creating a TLS <client/server> credential. The internal error state is 10013. The SSPI client process is <process ID>." tauche dann darin auf.

Die Auswirkungen hängen im Kern davon ab, welche Anwendungen TLS nutzen. Für viele Anwendungen und Produkte sei die Unterstützung der unsicheren Protokolle bereits deaktiviert. Microsoft nennt etwa die Microsoft-365-Produkte, WinHTTP und WinINet-API. In Edge und im Internet Explorer hatte der Hersteller zwischenzeitlich die Frist zur Deaktivierung aufgrund der Corona-Krise einige Monate verlängert auf Mitte bis Ende 2020.

Temporäre Abhilfe bei Problemen

Falls IT-Verantwortliche auf unüberbrückbare Probleme aufgrund der Deaktivierung stoßen, können Sie mit dem Anlegen eines DWORD-Registryschlüssel mit dem Namen "Enabled" und dem Wert "1" unter folgenden Registry-Zweigen die Unterstützung wieder aktivieren:

HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

Microsoft weist aber eindringlich darauf hin, dass dies lediglich als allerletzte Maßnahme vorgenommen werden solle und dann auch nur als temporäre Krücke, bis die inkompatible Anwendung aktualisiert oder ersetzt werden kann. Unterstützung für die Legacy-TLS-Versionen könne in Zukunft auch komplett entfernt werden.

In dem Artikel listen die Microsoft-Entwickler auch mehrere Anwendungen auf, die aufgrund der Änderungen nicht mehr korrekt funktionieren. Darunter finden sich recht alte Software-Stücke, etwa SQL Server 2012, 2014 und 2016, Microsoft Office 2008 Professional – Accounting Express, Safari 5.1.7, aber auch aktuelle wie ACDSee Photo Studio sowohl in Version 2018 als auch die Fassung 2023. Die Liste ist nicht erschöpfend, erklärt Microsoft, alle Systeme und Organisationen sollten die Abschaltung der alten TLS-Protokolle durchtesten und beobachten, ob etwaige Fehler auftreten. Dann könnten sie die App-Entwickler kontaktieren, sodass diese eine aktualisierte Version oder Umgehungsmaßnahmen liefern.

(dmk)