TLS 1.2 im Browser aktivieren

Erstmalig im November 2011 und etwas später erneut im Mai 2012 habe ich über die Verwundbarkeit von SSL und TLS berichtet und angemerkt, dass der aktuelle Standard von 2008 ! bezüglich TLS 1.2 in nahezu von kaum einem Browser überhaupt unterstützt bzw. überhaupt standardmäßig schon aktiviert ist.

Doch wie sieht es nun im Oktober 2013 aus? Hat sich endlich etwas getan? Ja, hat hat es, aber erst vor wenigen Wochen. Sicher auch durch die NSA-Affäre und diverse Abhörskandale sowie neben BEAST auch weitere bekannt gewordene und v.a. erfolgreiche Angriffsszzenarien auf SSL-Verbindungen wie etwa CRIME, BEAST oder Lucky Thirteen. Auch muss ich sagen, es ist eher ein „ja, aber…“.

Kurz zur Wiederholung welche SSL-Standards derzeit bestehen. TLS steht für Transport Layer Security und ist weitläufiger bekannt unter der Vorgängerbezeichnung SSL (Secure Sockets Layer):

  • TLS 1.2 – (SSL 3.3, 2008)
  • TLS 1.1 – (SSL 3.2, 2006)
  • TLS 1.0 – (SSL 3.1, 1999)
  • SSL 3.0
  • SSL 2.0

Welche Browser TLS 1.2 unterstützen

Google Chrome seit Version 29, Mozilla Firefox seit Version 24, der Internet Explorer mit Version 11 und Opera seit Version 16. Wie ihr seht sind das noch keine sehr alten Versionen und es hat sich erst in letzte Zeit etwas getan. Zwar unterstützt auch der IE8 bis 10 schon TLS 1.2, aber erst seit Windows 7.

Problematisch ist, dass TLS 1.2 unter älteren Windows-Versionen wie Windows Vista oder XP nicht zur Verfügung stehen. Damit kann es in Verbindung mit einem aktuellen Browser erst ab Windows 7 wirklich genutzt werden 🙁

TLS 1.2 aktivieren

Und es geht noch weiter, die Browser unterstützen TLS 1.2 nicht in der Standardkonfiguration, es muss manuell und für unbedarfte Benutzer in oft schwer zu findenden Optionen manuell aktiviert werden.

TLS-Aktivierung im IE:

  1. Menü “Extras” wählen und auf “Internetoptionen” klicken
  2. Den Reiter “Erweitert” wählen
  3. Zur Gruppe “Sicherheit” scrollen
  4. Die Kontrollkästchen “TLS 1.1 verwenden” und “TLS 1.2 verwenden” aktivieren
  5. Mit “Übernehmen” die Einstellungen speichern

TLS-Aktivierung im Opera und im Chrome:

  1. Im Menü die “Einstellungen” anklicken
  2. Dort „Erweiterte Einstellungen anzeigen“
  3. Im Bereich Netzwerk auf „Proxy-Einstellungen ändern“ klicken
  4. Es öffnen sich die Optionen der aktuellen Internetverbindung, dort bitte den Reiter “Erweitert” wählen
  5. Anschließend die Haken bei “TLS 1.1 aktivieren” und “TLS 1.2 aktivieren” setzen
  6. Mit „Übernehmen“ die Einstellungen speichern

TLS-Aktivierung im Firefox:

  1. In der Adresszeile von Firefox about:config eingeben.
  2. Den anschließenden Hinweistext bestätigen
  3. In der Suchzeile nach dem Ausdruck security.tls.version suchen
  4. Nun kann man bei security.tls.version.max eine drei eingeben, damit wird die maximal unterstützte Version des TSL-Standards auf 1.2 erhöht.

Falls ihr möchtet, könnt ihr noch bei security.tls.version.min den Wert von 0 auf 2 ändern. Dadurch wird die minimal erlaubte Version auf TLS 1.1 gesetzt. Dies ist dann relevant, falls die besuchte Webseite TLS 1.2 nicht unterstützt, dann wird TLS 1.1 genutzt. Die genaue Erklärung dieses Feldes und der dort eintragbaren Ziffern finden sich auf der Seite von Mozilla http://kb.mozillazine.org/Security.tls.version.*

Möchtet ihr prüfen, welche SSL/TLS-Version der Browser derzeit nutzt, so ruft dazu bitte nachfolgende Seite auf: https://cc.dcsec.uni-hannover.de/
Die Information findet ihr ziemlich unten, die Textzeile lautet in etwa so: This connection uses TLSv1.2 with DHE-RSA-AES128-GCM-SHA256 and a 128 Bit key for encryption.

Fazit:

Es bleiben Probleme 🙁 Neben des manuellen Weges der Aktivierung in den Browsern muss man auch daran denken, die alten Optionen nicht ganz abzuschalten, damit eine Abwärtskompatibilät bleibt. Wobei man sich fragen muss, ob man lieber eine unsichere/angreifbare sichere Verbindung haben möchte oder gar keine und was davon besser ist.

Dass ältere Betriebssysteme TLS 1.2 nicht unterstützen ist nun auch das eigentliche Problem für Hosting-Anbieter und Webseitenbetreiber. Denn diese müssen in Ihren Konfigurationen für den Webserver ebenfalls TLS 1.2 unterstützen und auch bei SSL-Zertifikaten diese ermöglichen. Doch ohne Fallbacklösungen bleiben die Probleme, dass einfach mal 80% der Besucher der Seite die Inhalte nicht sehen können. Denn was bringt ein Zwang für TLS 1.2 für den Webserver, wenn der Browser damit nicht umgehen kann. Auch die mobilen Zugriffe durch Smartphones, Tablets etc. sind nicht vernachlässigbar.

Lösungen? Die Browserhersteller sollten in meinen Augen dafür sorgen, dass die Browser TLS von Haus aus unterstützen und auch für die mobilen Geräte entsprechende Lösungen existieren. Ebenfalls sollte das Thema Sicherheit auch bei den Betriebssystemherstellern eine höhere Priorität genießen und ältere Versionen in diesem Thema noch mit einem Update versorgt werden. Es muss zudem ein Umdenken in den Köpfen der Anwender stattfinden und diese für das Thema sensibilisiert werden.

1 Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.