Tschö TLS 1.0/1.1

Ruft man eine Internetseite verschlüsselt via HTTPS auf, geschieht das mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS). Die initiale Version 1.0 hat nunmehr 19 Jahre auf dem Buckel und gilt schon länger als unsicher.

Nun wollen die Anbieter der großen Webbrowser einen weiteren Schritt hin zur Entsorgung der alten Standards gehen: Chrome, Edge, Firefox, Internet Explorer 11 und Safari unterstützen TLS 1.0 und das ohnehin kaum verbreitete 1.1 ab Anfang 2020 nicht mehr. Web-Admins sollten aber schon früher – am besten jetzt – reagieren und mindestens auf TLS 1.2 umstellen. Wer das nicht tut, macht seine Website unnötig angreifbar. Zudem können Besucher Seiten mit dem veraltetem TLS-Protokoll ab 2020 nicht mehr aufrufen. Manche Sicherheitsexperten fordern bereits, auf Webservern TLS 1.0 wegen der damit verbundenen Risiken komplett abzuschalten. Demgegenüber steht, dass etwa auf shop.heise.de noch rund 8 Prozent aller Seitenabrufe über TLS 1.0 erfolgen; diese sind vor allem auf Benutzer mit Android vor 4.4 , Internet Explorer 10 auf Windows 7 und macOS vor 10.9 mit Safari zurückzuführen. Heise würde mit dieser Maßnahme also fast jeden zehnten potenziellen Kunden abweisen. Wer jedoch etwa Kreditkarten verarbeitet, dem bleibt keine Wahl mehr: Seit Juli 2018 erlaubt die Compliance zum Standard PCI-DSS kein TLS 1.0 mehr.