Noch altes TLS 1.0 und 1.1 einsetzen?

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Noch altes TLS 1.0 und 1.1 einsetzen?

Daniel-6
Guten Tag,

setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B.
iPhone4, und nach dem Motto "lieber schlechte Verschlüsselung als keine"?

Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert, wenn diese auch keinen Wert auf aktuelles System legen?

Auszug von https://marius.bloggt-in-braunschweig.de/2018/02/21/mailserver-gebrochenes-tls-im-einsatz/ :
Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und
werden nicht mehr empfohlen.

Für die Bundesverwaltung hat das BSI einen Mindeststandard zum Einsatz von
TLS entwickelt, der für die Stellen des Bundes verbindlich umzusetzen ist:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf 
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll_node.html

Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Gruß Daniel


Reply | Threaded
Open this post in threaded view
|

Re: Noch altes TLS 1.0 und 1.1 einsetzen?

Stephan Seitz
On Mo, Feb 17, 2020 at 11:33:16 +0100, Daniel wrote:
>setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere
>Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B.
>iPhone4, und nach dem Motto "lieber schlechte Verschlüsselung als keine"?

Du bist auf einer Mailingliste zum Thema Postfix. Damit fragst du
vermutlich im Zusammenhang zu SMTP und nicht HTTP.

Bei SMTP kannst du jetzt noch unterscheiden, ob es sich um die
Transportverschlüsselung zw. Servern oder den Submission-Port für die
direkte Mailabgabe von Clients mit Authentifizierung handelt.

Im ersten Fall solltest du alles ab TLSv1 (einschließlich) erlauben. Da
ist es tatsächlich besser, wenn noch TLSv1 verwendet wird als wenn der
Server dann gar keine Verschlüsselung verwendet.

Im zweiten Fall brauchst du tatsächlich nur TLSv1.2 und höher, denn das
sollte jeder halbwegs moderne Client hinbekommen.

>Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert,
>wenn diese auch keinen Wert auf aktuelles System legen?

Im Zweifel hast du dann gar keine Verschlüsselung zwischen den Servern.

Bei HTTP, POP3 oder IMAP würde ich allerdings auch nur TLSv1.2 und höher
einsetzen.

Shade and sweet water!

        Stephan

--
|    If your life was a horse, you'd have to shoot it.    |
Reply | Threaded
Open this post in threaded view
|

Re: Noch altes TLS 1.0 und 1.1 einsetzen?

Thomas Walter
Moin,

On 17.02.20 11:52, Stephan Seitz wrote:

> On Mo, Feb 17, 2020 at 11:33:16 +0100, Daniel wrote:
> Im ersten Fall solltest du alles ab TLSv1 (einschließlich) erlauben. Da
> ist es tatsächlich besser, wenn noch TLSv1 verwendet wird als wenn der
> Server dann gar keine Verschlüsselung verwendet.
>
> Im zweiten Fall brauchst du tatsächlich nur TLSv1.2 und höher, denn das
> sollte jeder halbwegs moderne Client hinbekommen.
>
>> Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen
>> Wert, wenn diese auch keinen Wert auf aktuelles System legen?
>
> Im Zweifel hast du dann gar keine Verschlüsselung zwischen den Servern.

oder Du machst es wie IT.Niedersachsen und nimmst keine
unverschlüsselten oder TLS!=1.2 E-Mails mehr an:

https://www.it.niedersachsen.de/startseite/it_news/aktuelles/tls-177563.html

Grüße,
     Balu
Reply | Threaded
Open this post in threaded view
|

Re: Noch altes TLS 1.0 und 1.1 einsetzen?

Patrick Ben Koetter-2
In reply to this post by Daniel-6
Hallo Daniel!

* Daniel <[hidden email]>:
> setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere
> Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B. iPhone4, und nach
> dem Motto "lieber schlechte Verschlüsselung als keine"?

Teilweise konfigurieren wir die Plattformen unserer Kunden nach der Devise
"besser schwache/alte Transportverschlüsselung als keine". Dem geht in der
Regel eine Analyse des SMTP-Verkehrs voraus und der Kunde kann dann nach
Datenlage entscheiden, für wen er die Standards senken möchte oder muss. Wir
raten den Kunden auch ihren (geschäftlichen) Kommunikationspartnern aber auch
klare Zeitziele zu setzen. Das Spiel nennt sich "comply or explain".

> Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert,
> wenn diese auch keinen Wert auf aktuelles System legen?
>
> Auszug von https://marius.bloggt-in-braunschweig.de/2018/02/21/mailserver-gebrochenes-tls-im-einsatz/ :
> Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und
> werden nicht mehr empfohlen.
>
> Für die Bundesverwaltung hat das BSI einen Mindeststandard zum Einsatz von
> TLS entwickelt, der für die Stellen des Bundes verbindlich umzusetzen ist:
> https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf 
> https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll_node.html
>
> Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
> fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Die Betonung liegt auf "fordert". Die Mailplattformen der Behörden sind vielen
Herausforderungen unterworfen. Da gehören Migrationen, wie z.B. der Wechsel
vom IVBB zum NDB – mit Featurefreeze, Upgrade-Stop und Reorganisation - ebenso
dazu wie Beschaffungszeiträume von 1-2 Jahren für einfache Dinge. Der
Forderung steht also die Fähigkeit dieser nachkommen zu können gegenüber.

Wichtig ist IMO ein klares Bekenntnis zu einem Ziel, wie z.B. "TR-02102-2
umsetzen", eine Standortbestimmung und ein Weg dorthin. Disruptiv, wie es so
viele Admins in ihrer eigenen Welt leben können, weil die Abhängigkeiten so
gering sind, ist bei den Behörden gar nichts.

Oder wie es ein Herr vom BSI kürzlich beim Treffen der KG E-Mail der eco.de
sagte: "Meine Damen und Herren, wenn man in der Verwaltung des Bundes tätig
ist denkt man in Jahrzehnten, um Features umzusetzen." Ich sehe das ähnlich
und bemühe dafür immer diesen Spruch von REWE: "Jeden Tag ein bisschen
besser…"

p@rick

--
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein