Alte TLS-Versionen sind bei Windows zukünftig standardmäßig deaktiviert
Microsoft hat bekannt gegeben, dass neue Windows-Versionen die ältesten Varianten des verbreiteten TLS-Protokolls in Zukunft standardmäßig nicht mehr unterstützen werden. Was das genau bedeutet, ob es Sie persönlich betrifft, warum das ein sinnvoller Schritt ist und wie man Einschränkungen in Ausnahmefällen umgehen kann (aber nicht sollte), lesen Sie in diesem Artikel.
TLS steht für Transport Layer Security und ist der Nachfolger des etwas bekannteren SSL (Secure Sockets Layer). Es handelt sich dabei um ein Protokoll, das sichere Datenübertragungen im Internet ermöglicht, indem der Inhalt der Datenpakete verschlüsselt übertragen wird. Beherrschen beide Partner dieses Protokoll, können sie darüber zu Beginn der Übertragung einen gemeinsamen Schlüssel aushandeln, mit dem die Daten ver- und entschlüsselt werden können. Einer der wesentlichen Einsatzbereiche sind sichere Übertragungen von Webinhalten per HTTPS, aber auch bei Mail, VPN, FTP oder DNS kann TLS als zugrunde liegende Sicherheitsschicht zum Einsatz kommen.
Warum TLS 1.0 und 1.1?
Wieviele andere Protokolle auch wurde TLS laufend weitereinwickelt und an neue Anforderungen und Gegebenheiten angepasst, so dass man die Versionen 1.0, 1.1, 1.2 und 1.3 unterscheidet. Ein wesentlicher Unterschied der Versionen sind die eingesetzten Verschlüsselungsmethoden, die im Laufe der Zeit immer anspruchsvoller wurden. Dies wurde nötig, weil zum einen die Hardware immer leistungsfähiger wurde und zum anderen Sicherheitslücken bei einzelnen Verschlüsselungsmethoden bekannt wurden. Dies führt dazu, dass mindestens TLS 1.0 und 1.1 inzwischen als unsicher und deshalb veraltet gelten.
Warum ist das sinnvoll?
Es ist grundsätzlich nicht empfehlenswert, Verschlüsselungsverfahren weiter einzusetzen, die mit geringem Aufwand geknackt werden können. Das schafft Gefahren und wiegt Anwender zudem in falscher Sicherheit. Und da es sicherer Nachfolgerversionen gibt, spricht nichts dagegen, diese zu nutzen. Gleichzeitig „zwingt“ Microsoft mit diesem Schritt die Anbieter von veralteter Software, ihre Produkte auf einen aktuellen, sicheren Stand zu bringen.
Wer ist betroffen?
Microsoft spricht von „zukünftigen neue Windows-Betriebssystemen“. Das legt nahe, dass Windows 10 und 11 davon nicht betroffen sein sollten. Allerdings wäre ich bei der Auslegung von „zukünftige neue“ etwas vorsichtig, denn es kann durchaus sein, dass Microsoft künftige Windows-Funktions-Updates als neue Systeme betrachtet und beispielsweise Windows 11 23H2 mit dieser Änderung ausliefert. In der aktuellen Windows Insider-Preview von Windows 11 hat die Änderung jedenfalls schon Einzug gehalten. Auf alle Fälle dürfte sie sich in Windows 12 finden. Betroffen ist aber in jedem Fall nur, wer Programme verwendet, die noch auf TLS 1.0 oder 1.1 angewiesen sind.
Alles zum großen Funktionsupdate
Windows 11 - 24H2
|
Wie wirkt sich das aus?
Das hängt von den betroffenen Anwendungen ab. Bei vom Entwickler gut gepflegter und vom Anwender auf dem aktuellen Stand gehaltener Software wird es gar keine Auswirkungen geben. Denn in diesem Fall sollten die Anwendungen TSL 1.0 oder 1.1 ohnehin nicht mehr nutzen und stattdessen die Nachfolgeversionen unterstützen. Es gibt aber einige bekannte Anwendungen, bei denen das nicht der Fall ist. Wer beispielsweise noch ältere Office-Versionen bis 2008 einsetzt könnte Probleme bekommen, da die neueren TLS-Protokolle nur in jüngeren Office-Versionen eingepflegt wurden. Auch andere Standard-Software wie SQL oder Safari ist in älteren, nicht ausreichend gepflegten Versionen davon betroffen. Aber sogar einige ganz aktuelle Programme wie etwa ACDSee 2023 beherrschen nur die veralteten TLS-Versionen. Schaut man in den Bereich spezifischer oder gar proprietärer Firmenanwendungen, könnten sich noch weitaus mehr Probleme auftun.
Was kann im schlimmsten Fall passieren?
Das hängt davon ab, wie die Anwendungen programmiert sind. Der schlimmste Fall wäre wohl, dass überhaupt keine Datenübertragung mehr möglich ist. Das passiert, wenn ein Programm nur solche Protokolle beherrscht, die Windows nun nicht mehr unterstützt. In diesem Fall scheitert die Kommunikation mit oder ohne Fehlermeldung. Je nach Anwendung betrifft das aber nur diesen Teil der Funktionalität. Es kann aber auch sein, dass die Programmierer eine Rückfall-Möglichkeit vorgesehen haben, für den Fall dass keine sichere Verbindung ausgehandelt werden kann. Dann werden Daten eventuell ganz ohne Verschlüsselung übertragen, sofern die Gegenstelle dies unterstützt. Die Anwendung würde also weiter funktionieren, aber die Sicherheit der Daten gefährden.
Kann man etwas dagegen tun?
Microsoft hat TLS 1.0 und 1.1 nicht gleich ganz aus Windows entfernt, sondern lediglich standardmäßig deaktiviert. Wer unbedingt darauf angewiesen ist, weil eine wichtige Anwendung sonst nicht mehr funktionieren würde, der kann die beiden Protokoll notfalls wieder einschalten. Zuständig sind dafür Einstellungen in der Windows-Registry:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
In diesen Schlüssel muss jeweils ein DWORD-Wert mit dem Namen „Enabled“ und dem Wert 1 abgelegt werden. Die Einstellungen für TLS 1.1 lauten entsprechend nur eben mit 1.1 anstelle von 1.0.
Sollte man etwas dagegen tun?
Wenn Sie Programme einsetzen, die nur mit den veralteten TLS-Protokollversionen korrekt funktionieren, sollten Sie sich um aktualisierte Versionen dieser Programm bemühen oder nach neueren, besser gepflegten Alternativen umschauen. Das Reaktivieren der veralteten Protokolle ist zwar verführerisch, sollte aber nur eine Notlösung und allenfalls vorübergehender Natur sein.