Erinnerung: TLS 1.0/1.1-Abkündigung und Sirtfi

Silke Meyer smeyer at dfn.de
Mi Feb 26 10:09:49 CET 2020


Liebe Kolleg*innen,

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
tldr;
TLS 1.0 und 1.1 fliegen bald aus den Browsern.
Wer diese Protokollversionen in der DFN-AAI nach Ende März noch spricht, 
verliert das Sirtfi Entity Attribut.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

die großen Browserhersteller hatten bereits 2018 angekündigt, dass sie 
im Laufe des Jahres 2020 die Protokolle TLS 1.0 und TLS 1.1 nicht mehr 
unterstützen werden.[1] Nun ist es bald soweit: Bis Mitte des Jahres 
werden Microsoft IE und Edge, Mozilla Firefox, Safari/Webkit und Google 
Chrome das umgesetzt haben. Die empfohlenen Protokollversionen sind TLS 
1.2 und 1.3.

Bitte stellen Sie rechtzeitig sicher, dass Ihre (Web-)Server 
entsprechend konfiguriert sind. Für ganz Eilige hat Mozilla den 
interaktiven SSL-Configuration Generator aktualisiert.[2] Darüber hinaus 
empfiehlt es sich natürlich, in der aktuellen SSL-Dokumentation der 
jeweils eingesetzten Software nachzulesen.

Für die DFN-AAI ist dies noch aus einem speziellen Grund relevant: Wir 
vergeben das *Sirtfi* Entity Attribut für einen informierten Umgang mit 
Sicherheitsvorfällen [3] aufgrund von drei Kriterien. Eins davon ist 
eine A-Bewertung bei SSLLabs [4] für die Webserver-Konfiguration am 
IdP/SP. SSLLabs vergibt ab Ende Januar keine A-Bewertung mehr für 
Server, die TLS 1.0 und TLS 1.1 unterstützen.[5] TLS 1.3 wird nicht 
zwingend erwartet, aber TLS 1.2.

*WICHTIG*: Wenn Sie das Sirtfi Entity Attribut tragen, sorgen Sie bitte 
bis zum 31.03.2020 dafür, dass Sie dann wieder eine aktuelle A-Bewertung 
erhalten.

Bei Fragen stehen wir wie immer an der AAI-Hotline zur Verfügung 
(hotline at aai.dfn.de oder vormittags unter der +49 711 63314-215).

Viele Grüße aus dem AAI-Team,
Silke Meyer

[1] 
https://www.feistyduck.com/bulletproof-tls-newsletter/issue_46_the_end_of_tls_1_0_and_1_1
[2] https://ssl-config.mozilla.org/
[3] https://doku.tid.dfn.de/de:aai:incidentresponse
[4] https://www.ssllabs.com/ssltest/
[5] 
https://blog.qualys.com/ssllabs/2018/11/19/grade-change-for-tls-1-0-and-tls-1-1-protocols

-- 
---------------------------------------------------------------------
Silke Meyer                            Phone  : +49 30 884299-306
DFN-Verein                             Fax    : +49 30 884299-370
Alexanderplatz 1                       E-Mail : smeyer at dfn.de
D-10178 Berlin                         WWW    : http://www.dfn.de
---------------------------------------------------------------------
--------------------- Deutsches Forschungsnetz ----------------------
--------- Germany's National Research and Education Network ---------
---------------------------------------------------------------------


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5405 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20200226/c8918dcf/attachment-0001.bin>


Mehr Informationen über die Mailingliste Aai-users