Kurze Erinnerung für Administratoren – die das Thema aber sicherlich auf der Agenda haben: Microsoft wird in Azure die Unterstützung für TLS 1.0 und 1.1 zum 31. Oktober 2024 beenden.
TLS 1.0 und 1.1 sind veraltet
Transport Layer Security (TLS) ist das gängigste Internetprotokoll für die Einrichtung eines verschlüsselten Kommunikationskanals zwischen einem Client und einem Server. Allerdings gibt es aus historischen Gründen verschiedene Varianten TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3. Ein Problem sind inzwischen die veralteten Varianten TLS 1.0 und TLS 1.1.
Das alte Protokoll TLS 1.0 stammt aus dem Jahr 1999, und ist nicht mehr als sicher einzustufen, da im Laufe der Zeit mehrere Sicherheitslücken in dieser Protokollversion gefunden wurden. Das „neuere“ TLS 1.1 wurde 2006 veröffentlicht und brachte einige Sicherheitsverbesserungen mit sich. Allerdings wurde nie eine breite Akzeptanz für TLS 1.1 erreicht.
Inzwischen wurden TLS 1.2 und TLS 1.3 eingeführt und sind breit im Einsatz. TLS-Implementierungen versuchen die Verbindungen mit der höchsten verfügbaren Protokollversion auszuhandeln. Aber es gibt Fallback-Mechanismen, falls die Kommunikationspartner ein Protokoll nicht unterstützen.
Microsoft beendet TLS 1.0/1.1-Support
Angesichts dieser Problematik hatte Microsoft bereits vor längerer Zeit angekündigt, dass der Support für TLS 1.0/1.1 bald endet. Ich hatte beispielsweise im Blog-Beitrag Windows: Microsoft erinnert an baldige TLS 1.0/1.1-Abschaltung bereits im September 2023 berichtet, dass die Unterstützung in neuen Windows-Versionen entfällt.
- Microsoft wird bei zukünftigen Versionen von Windows die TLS-Versionen 1.0 und 1.1 standardmäßig deaktivieren. Diese Änderung gilt nur für zukünftige neue Windows-Betriebssysteme, sowohl für Client- als auch für Server-Editionen.
- Bereits erschienene Windows-Versionen sind von dieser Änderung nicht betroffen.
- In den Windows 11 Insider Preview-Builds, die im September 2023 erscheinen, sind die TLS-Versionen 1.0 und 1.1 standardmäßig deaktiviert.
Aber hier im Beitrag geht es um die Microsoft Azure-Dienste, die es erst jetzt betrifft. Mir ist das Thema TLS 1.0/TLS 1.1-Abschaltung für Azure die Tage in nachfolgendem Tweet erneut untergekommen. Zum 31. Oktober 2024 wird Microsoft diese Protokolle in Microsoft Azure deaktivieren – Verbindungen müssen dann mit TLS 1.2 abgesichert werden.
Der obige Tweet ist aber nicht sehr spezifisch. Konkret bezieht sich die Deaktivierung von TLS 1.0/1.1 zum Stichtag 31. Oktober 2024 auf die Microsoft Azure-Dienste. Microsoft hat dazu im Frühjahr 2024 den Supportbeitrag Support for TLS 1.0 and TLS 1.1 will end by October 31, 2024 online gestellt.
Für Administratoren ist eigentlich nur relevant: Gibt es noch Geräte bzw. Clients, die mit Microsoft Azure-Diensten kommunizieren und nur TLS 1.0 / 1.1 unterstützen? Falls dies der Fall ist, werden diese Geräte bzw. Clients dann ihren Dienst einstellen.
Ähnliche Artikel:
Übersicht: TLS-Support in Windows
NSA-Info zu obsoleten TLS-Konfigurationen
Raccoon-Angriff hebelt TLS-Verschlüsselung aus
Windows-Support für Paket-Download mit TLS 1.0/1.1 endet (24.9.2020)
Windows: Microsoft will TLS 1.0 und 1.1 bald standardmäßig im Schannel-Protokoll deaktivieren
TLS 1.0/1.1-Abschaltung: Schannel Event-Logging zum Monitoring aktivieren
WTF von Ryan Ries: Edge verwendet eigene TLS-Zertifikatsprüfungen
Änderungen im Edge: Änderung bei TLS-Zertifikaten, kein Uninstall mehr, Server 2012/R2-Support
Windows: Microsoft erinnert an baldige TLS 1.0/1.1-Abschaltung
Problematisch können viele .NET Anwendungen sein, die vor 2017/2018 programmiert wurden. Ich kann mich an Docuware mit ihrem Desktop Clienten erinnern, der nur TLS1.0/1.1 konnte und kotzte, als ich am Reverse TLS1.2 hatte. Wurde kurz vor Corona mit einem Update behoben.
Da werden gerade bei ERP und Custom .NET Anwendungen noch eine Menge vergammelter Code in Unternehmen schlummern.
Das muß ja uralte Software sein oder die Programmierer haben schlicht gepennt.
TLS 1.2 wird schon von Windows Vista unterstützt und selbst für Windows XP gabs einen Patch von Microsoft, der die Unterstützung von TLS 1.2 bringt.
Hier im Firmennetzwerk gibt es keine Software mehr, die nicht mindestens TLS 1.2 unterstützt.
Unterstützt ja, Default bei .NET war aber bis 2017 1.0/1.1 AFAIK
Man möge mich bitte widerlegen/korrigieren, wenn ich falsch liege.
7 Jahre ist für typische Business-Software noch kein Alter…
Mit dem KB3156421 vom 10. Mai 2016 wurde TLS 1.2 in Windows 10 nachgerüstet.
TLS 1.2 wurde regulär erst ab „.NET Framework 4.6.2“ eingeführt. Das war der 02.August 2016.
NET-Programme, die vor diesem Datum kompiliert wurden, können kein TLS 1.2.
Es gab dann noch Hotfix-Rollups, um nachträglich „.NET Framework 4.5.1“ (und 4.5.2) auf TLS 1.2 zu bringen. NET-Programme müssen danach aber neu kompiliert werden.
Für Windows 8.1 und Server 2012 R2: Hotfixrollup 3099842
Für Windows Server 2012: Hotfixrollup 3099844
Für Windows 7 gelten beide Hotfix-Rollups aber nicht.
Für Windows 7 braucht man das KB3140245 vom 14.Juni 2016 für TLS 1.2 und ein paar Registry-Einträge um es zu aktivieren.
Da ist MS ja mal wieder echt früh dran… Mal schauen, was dann so an Uralt-Software alles den Dienst einstellt.
Gut so, hätten sie die Unterstützung von TLS 1.0 und 1.1 schon einige Jahre früher gekappt, dann würden sicher mehrere Programme von Fremdanbietern nicht mehr laufen, wie es meistens auch ist. Ist also kein Fehler von Microsoft, auch wenn manche das immer so hinstellen.
Abwegung zwischen Sicherheit und Altlasten. Microsoft entscheitet sich oft für die Altlasten.