TLS 1.2/1.1

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

TLS 1.2/1.1

 · 
Gepostet: 08.11.2013 - 07:37 Uhr  ·  #1
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: TLS 1.2/1.1

 · 
Gepostet: 05.02.2014 - 08:55 Uhr  ·  #2
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: TLS 1.2/1.1

 · 
Gepostet: 06.02.2014 - 16:42 Uhr  ·  #3
was mich aber schon eine geraume Zeit beschäftigt, ist es sinnvoll bspw. TLS 1.0 und 1.1 zu deaktivieren, damit man das bestmögliche/neuste Sicherheitsprotokoll verwendet?
kenn mich diesbzgl. garnicht aus
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: TLS 1.2/1.1

 · 
Gepostet: 06.02.2014 - 20:46 Uhr  ·  #4
man erkennt dann, dass einige Server die Verschlüsselung gar nicht können.
Ich meine, irgendwo gelesen zu haben, dass dies dauerhaft eher nicht zu empfehlen sei, denn eine schlechtere Verschlüsselung sei besser als keine.
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: TLS 1.2/1.1

 · 
Gepostet: 07.02.2014 - 10:43 Uhr  ·  #5
hm, wenn man die Aussage mal auf "WLAN umsetzen" würde, dann ist eine mixed-mode WPA/WPA2 Verschlüsselung besser.
dem ist bezogen auf das WLAN eben nicht, hier wäre (rein) WPA2 die beste Wahl, da ansonsten manche Geräte mit WPA verbinden, obwohl WPA2 möglich wäre.
des weiteren ist WPA (nach heutigem Standard) nicht sicher.

daher stellst sich für mich die Frage, wenn ich auf div. banking-Seiten unterwegs bin und diese die "neuste" Verschlüsselung anbieten, ob ich nicht dann lieber das auswähle und das Risiko bei anderen eingehe.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: TLS 1.2/1.1

 · 
Gepostet: 10.02.2014 - 20:05 Uhr  ·  #6
Da hast du völlig Recht. Aber WPA ist auch da besser als nix (oder WEP), wenn keine Alternative, also aktueller Router, zur Verfügung steht. Ich nehm jedenfalls keinem den Router deshalb weg.

Da es sich beim Browser um Software handelt: Es wäre evtl. praktisch, wenn man vorher in den Einstellungen festlegen könnte, welches Sicherheitsbedürfnis man für welche Seiten hat. Also für Banking nur "A"-Ratings, E-Mail reicht mir mit "B" etc.
Aber wer würde das nutzen? Die, die sich eh mit dem Thema Sicherheit beschäftigen und eher nicht betroffen sind...

Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 93
Dabei seit: 02 / 2007
Betreff:

Re: TLS 1.2/1.1

 · 
Gepostet: 11.02.2014 - 19:19 Uhr  ·  #7
Zitat geschrieben von infoman

hm, wenn man die Aussage mal auf "WLAN umsetzen" würde, dann ist eine mixed-mode WPA/WPA2 Verschlüsselung besser ... .


Der "kleine" Unterschied ist, dass bei WLAN du der Betreiber des AP bist, und selber festlegen kannst, welche Verschlüsselung du einsetzt. Bei deiner Handvoll zugriffsberechtigter Clients stellst du ganz schnell fest, ob einer der Clients WPA2 nicht "kann". Und dann kannst/musst du entscheiden, ob du mit deiner Sicherheitseinstellung zurückruderst, oder besser dem betreffenden Client eine neue WLAN-Hardware oder ein Kabel spendierst.

Bei https ist das ein klein wenig anders. Dort hat der Betreiber des Servers das Sagen. Und du bzw. dein Client kann nur das Protokoll fahren, was der Server als Maximum anbietet. Auch, wenn dein Browser ein höherwertiges Protokoll "kann", was jetzt wohl immer der Fall ist. (Unterschied, welches Protokoll ein Browser KANN, und welches als minimal erforderlich eingestellt ist!)
Selbstverständlich kannst du diese Möglichkeiten deines Browswer auch ausreizen, indem du als Minimalvariante die sicherste Möglichkeit einstellst und auch die heute als unsicher geltende symmetrische Algorithmen direkt verbietest. (Sehr gut für den Fx beschrieben bei Camp-Firefox.de) Wenn <user> in der Lage ist, selber und bewusst diese Einstellung zu ändern, dann dürfte er zumeist auch in der Lage sein, auf entsprechende Fehlermeldungen wg. Nicht-Erreichbarkeit richtig zu reagieren und meinetwegen für diese Seite das minimal erforderliche Protokoll niedriger einzustellen. (Immer wieder neu!)
(*)BTW: ich mache das schon lange so, aber es gibt immer noch einige Seiten, die das nicht drauf haben!
Das Problem sind aber die Nutzer, die das nicht können. Und das dürfte wohl leider immer noch die Masse der Nutzer sein. Nun stell dir vor, die Hersteller der Browser würden mit einem Schlag überall die aktuell sicherste Variante zur minimal erforderlichen Stufe machen. Das Geschrei möchte ich hören!

Fazit: dieses erstrebenswerte Ziel können die Hersteller der Browser erst dann zur Vorgabe machen, wenn es bis auf ganz wenige nur noch Server gibt, welche auch dieses anbieten!

Mögliche Lösung:
Es hat doch wohl jeder zwei Browser auf seiner Kiste installiert. Dann müssen eben bestimmte Seiten zeitweilig mit dem "Ersatzbrowser" besucht werden.


MfG Peter
Gewählte Zitate für Mehrfachzitierung:   0