/Debian-Entwicklungsversion schaltet TLS 1.0 und 1.1 ab

Debian-Entwicklungsversion schaltet TLS 1.0 und 1.1 ab

Debian-Entwicklungsversion schaltet TLS 1.0 und 1.1 ab


Fabian A. Scherschel

Geht es nach den Entwicklern, wird Debian Buster nur noch TLS 1.2 unterstützen. Rechner, die nur TLS 1.0 oder 1.1 beherrschen, könnten dann mit diesen Systemen nicht mehr sicher sprechen. Momentan unterstützen fast alle Webserver nach wie vor TLS 1.0.

Die Entwickler der vor allem für den Server-Einsatz beliebten Linux-Distribution Debian haben im Entwicklungszweig unstable (auch bekannt als Debian Sid) die Unterstützung für TLS 1.0 und 1.1 entfernt. Da TLS 1.3 noch nicht fertig ist, wäre damit TLS 1.2 die einzige unterstützte Version des Protokolls, das Netzwerkverbindungen in großen Teilen des weltweiten Netzes absichert. Wird Sid irgendwann (voraussichtlich in den nächsten zwei Jahren) zum offiziell unterstützten Release Debian 10 (Buster), könnten somit Systeme auf der Strecke bleiben, die TLS 1.2 nicht beherrschen – diese können sich dann nicht mehr auf sicherem Wege mit dieser neuen Debian-Version verständigen.

Zwar ist TLS 1.2 mittlerweile als Standard für sichere Verbindungen im Netz etabliert, ebenso wie die Version des SSL-Nachfolgeprotokolls, die man eigentlich einsetzen will, um Verbindungen zukunftssicher zu verschlüsseln, allerdings gibt es nach wie vor Systeme, die nur ältere Versionen beherrschen. Die Debian-Entwickler schätzen die Verbreitung von Systemen, die TLS 1.2 sprechen auf “um die 90 Prozent”. Eine Einschätzung die, jedenfalls für Webserver, durch Untersuchungen der SSL Labs bei Qualys bestätigt wird (TLS-1.2-Unterstützung bei Webservern liegt demnach bei 87,7 Prozent). Das berücksichtigt allerdings nicht den TLS-Support bei Client-Systemen – etwa Smartphones mit veralteten Betriebssystemen oder Embedded-Systeme.

Bestrebungen, zumindest TLS 1.0 aus dem Netz zu verbannen, gibt es schon eine ganze Weile. So kommentierte heise Security zuletzt 2015 eine entsprechende Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch mit der Einschätzung: “TLS 1.0 ist keineswegs so veraltet und unsicher, dass man dessen Nutzung gar nicht mehr verantworten könnte.” Aus der puristischen Sicht von Krypto-Experten will man sicherlich so schnell wie möglich auf TLS 1.2 umsteigen. Trotzdem unterstützen laut Qualys immer noch 92,9 Prozent aller Webseiten wenigstens einen Fallback auf Version 1.0, um älteren Systemen nicht pauschal jegliche Möglichkeit für sichere Kommunikation zu nehmen. Genau das scheinen die Debian-Entwickler allerdings wissentlich in Kauf zu nehmen.


(fab)