IETF will alte TLS-Versionen "verbieten"

Mit einem eigenen RFC sollen die Standards TLS 1.0 und 1.1 offiziell als veraltet eingestuft werden.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen
TLS und die Rauferei um das "richtige" Internet
Lesezeit: 2 Min.

Der Arbeitsauftrag für den Internet-Draft "Deprecating TLSv1.0 and TLSv1.1" lässt sich dem internen Namen entnehmen: "oldversions-diediedie" – sterben soll der alte Müll endlich. Zehn Jahre nach deren Veröffentlichung unterstützen fast alle Server und Clients die aktuelle Version TLS 1.2 – aber im Zuge der vorgeschriebenen Rückwärtskompatibiltät können sie eben auch noch die alten Versionen 1.0 und 1.1.

Das führte immer wieder zu Sicherheitsproblemen und erhöht den Aufwand für Umsetzung und Pflege der Verschlüsselungsbibliotheken erheblich. Damit soll jetzt endlich Schluss sein. Die Arbeitsgruppe soll einen RFC erstellen, der die bisherigen Standards als "veraltet" deklariert (deprecated) und die Anforderungen an die Rückwärtskompatibilität in den aktuellen Standards entsprechend anpasst. Seit 2008 sei TLS 1.2 die von der IETF empfohlene Version, was genug Zeit gegeben habe, die Umstellung weg von den älteren Versionen zu realisieren, erklären die Autoren die harte Umstellung. Bisher ist der Draft allerdings gerade mal ein grobes Gerüst; bis zu seiner Verabschiedung als RFC dürfte also erfahrungsgemäß noch mindestens ein Jahr ins Land gehen.

Transport Layer Security, kurz TLS ist der wichtigste Standard für Verschlüsselung und Authentifizierung im Internet. Anwender begegnen ihm vor allem in Form von HTTPS, das das alte, unverschlüsselte HTTP immer mehr ablöst. Aktuell ist noch Version 1.2, doch dessen Nachfolger TLS 1.3 ist quasi fertig; die Veröffentlichung im Lauf dieses Jahres ist eigentlich nur noch Formsache.

Mehr dazu erklärt der c't-Artikel:

  • Weniger ist mehr. Was die anstehende Version TLS 1.3 bringt.

(ju)