22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8171
Dabei seit: 08 / 2002
Betreff:

22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 15.07.2019 - 10:02 Uhr  ·  #1
Betroffen sind damit vermutlich alten Betriebssysteme (uralte Androids, XP...) und Programme, die eine eigene Verschlüsselung nutzen (Profi cash, VR-NetWorld Software, Starmoney, SFIRM).
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 7068
Dabei seit: 06 / 2008
Betreff:

Re: 22.07.2019 - DTLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 23.07.2019 - 18:31 Uhr  ·  #2
siehe auch
Zitat
Änderung TLS-Verschlüsselung
Bitte beachten Sie: Sie können das Online-Banking ab 22. Juli 2019 nur noch mit aktuellen Betriebssystemen bzw. Browsern aufrufen.

https://www.volksbank-rhein-we…elung.html

damit die User mit Problemen sich ausführlicher einlesen können.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 309
Dabei seit: 12 / 2005
Betreff:

Re: 22.07.2019 - DTLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 23.07.2019 - 20:57 Uhr  ·  #3
Naja das mit den „aktuellen“ Betriebsystemen ist so nicht richtig wiedergegeben

Die Systeme
- Windows 7
- Windows 2008 SP2
- Windows 2008 R2
haben noch „erweiterten Support“ bis 14.01.2020, sind also noch aktuell !

Und trotzdem funktioniert es damit nicht mehr.
Bei „Windows 7“ und „Windows 2008 R2“ kann man zumindest per Registry TLS 1.2 aktivieren.

Für „Windows 2008 SP2“ (also ohne „R2“) haben wir keine Lösung gefunden
FinTS-Banking-Lösungen auf diesen System sind damit definitiv tot.
Insoweit ist das mit den „aktuellen“ Betriebssystemen m.E. eine Falschaussage
Die Liste der Windows-Lebenszykeln gibt es hier: Microsoft Lebenszyklus

Ärgerlich das es die Anwender wieder mal kalt erwischt.
(ich meine nicht die Anwender die noch Windows 2003 benutzen)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 147
Dabei seit: 03 / 2016
Betreff:

Re: 22.07.2019 - DTLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 23.07.2019 - 21:13 Uhr  ·  #4
Zitat geschrieben von kontex

Bei „Windows 7“ und „Windows 2008 R2“ kann man zumindest per Registry TLS 1.2 aktivieren.

Mach mich mal schlau, wie geht das denn?

mfg Volker
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 309
Dabei seit: 12 / 2005
Betreff:

Re: 22.07.2019 - DTLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 23.07.2019 - 21:24 Uhr  ·  #5
Zitat geschrieben von vdelf

Zitat geschrieben von kontex

Bei „Windows 7“ und „Windows 2008 R2“ kann man zumindest per Registry TLS 1.2 aktivieren.

Mach mich mal schlau, wie geht das denn?

mfg Volker


Einfach per Registry-Eintrag.
Ist hier offiziell beschrieben: TLS 1.2 aktivieren.

Hier gibt es noch eine Erläuterg gleich mit fertiger REG-Datei zum Download
Einfach die REG-Datei zum Import anklicken und schon funktioniert TLS 1.2 auf Win7 / 2008R2.
Sogar ohne Neustart. Haben wir heute bei ca. 40 Kunden gemacht
Nur für die "2008 SP2" haben wir keine Lösung
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 147
Dabei seit: 03 / 2016
Betreff:

Re: 22.07.2019 - DTLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 24.07.2019 - 14:14 Uhr  ·  #6
Zitat geschrieben von kontex

Ist hier offiziell beschrieben: TLS 1.2 aktivieren.

Danke für die Links, werde ich mal in Angriff nehmen.

Eigenartig ist es schon, denn in den Internetoptionen von Windows 7 sind TLS 1.1 und TLS 1.2 markiert und der Internet Explorer 11 kann bereits TLS 1.2 !

mfg Volker
Benutzer
Avatar
Geschlecht:
Beiträge: 7068
Dabei seit: 06 / 2008
Betreff:

Re: 22.07.2019 - DTLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 24.07.2019 - 14:52 Uhr  ·  #7
Zitat geschrieben von kontex
Für „Windows 2008 SP2“ (also ohne „R2“) haben wir keine Lösung gefunden

Update zum Hinzufügen der Unterstützung von TLS 1.1 und TLS 1.2 in Windows Server 2008 SP2 ...
https://support.microsoft.com/…in-windows
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 309
Dabei seit: 12 / 2005
Betreff:

Re: 22.07.2019 - DTLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 24.07.2019 - 15:06 Uhr  ·  #8
Zitat geschrieben von infoman

Zitat geschrieben von kontex
Für „Windows 2008 SP2“ (also ohne „R2“) haben wir keine Lösung gefunden

Update zum Hinzufügen der Unterstützung von TLS 1.1 und TLS 1.2 in Windows Server 2008 SP2 ...
https://support.microsoft.com/…in-windows


Danke - ist bekannt - funktionert leider nicht.

"Windows-2008" = NT 6.0 = Unterbau von Vista
"Windows-2008 R2" = NT 6.1 = erstes eigenes Serverbetriebssystem, vorher war Server nur aufgesetzt.

Und NT 6.0 (=Vista) hat TLS 1.2 *nicht* im Bauch, kann auch nicht nachgerüstet werden, während es bei NT 6.1 drin ist aber erst bei Registry-Einstellung aktiivert werden muss. So wie es in dem Artikel beschrieben ist.

Aber Danke für den Link, ich nehme jeden Strohhalm :-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8171
Dabei seit: 08 / 2002
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 25.07.2019 - 08:17 Uhr  ·  #9
Ich hab nur gesucht, aber selbst für Vista scheint das Nachrüsten zu funktionieren.
Fehlen womöglich die Zertifikatsbiblios? Wie lauten denn die genaue Fehlermeldung?
https://msfn.org/board/topic/1…xplorer-9/
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 7068
Dabei seit: 06 / 2008
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 25.07.2019 - 09:40 Uhr  ·  #10
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8171
Dabei seit: 08 / 2002
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 25.07.2019 - 21:45 Uhr  ·  #11
Das Ziel ja, aber die Diskussion ist auch interessant, wie ich finde.
Benutzer
Avatar
Geschlecht:
Beiträge: 7068
Dabei seit: 06 / 2008
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 26.07.2019 - 07:00 Uhr  ·  #12
hab hier noch eine Anleitung gefunden, die viele Bereiche (inkl. Links) abdeckt und auch Macs berücksichtigt.
Benutzer
Avatar
Geschlecht:
Beiträge: 7068
Dabei seit: 06 / 2008
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 10:32 Uhr  ·  #13
@kontex
hast es nun bspw. mit dem Tool aus #12 bzw. (direkter Link) hinbekommen?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 309
Dabei seit: 12 / 2005
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 10:47 Uhr  ·  #14
Zitat geschrieben von infoman

@kontex
hast es nun bspw. mit dem Tool aus #12 bzw. (direkter Link) hinbekommen?


Nein.
es funktioniert nur auf Server 2008R2 und auch nur wenn alle ServicePacks (SP1 + SP2 ) drauf sind.
Ausdrücklich:
- für Server 2008 (ohne "R2") gibt es keine Lösung - keine Servicepacks mit denen man das erledigen kann.
- Dokumente die den Anschein erwecken das es doch geht sind einfach nur "ungenau" geschrieben
- mehrere Kollegen nach mir sind zum gleichen Ergebnis gekommen (Es geht nicht ohne "R2"

Nachtrag:
Letztlich das Tool doch auch nur ein besserer RegEdit-Ersatz für die TLS 1.2.
Ich kann ja auch die TLS 1.2 CheckBox setzen.
Nützt aber nichts wenn es die Kiste nicht kann, in die Registry kann man ja sonstwas schrieben.
Ist letztlich wie ein Lichtschalter ohne Kabel, und ich wunder mich warum das Licht nicht angeht wenn ich drücke

OT:
Andekote am Rand:
Das ist tatsächlich ein Kundenserver 2008R2 aufgetaucht welcher sein dem Aufsetzen im Jahr 2011 noch nie ein Update erhalten hat. Die Kiste hat 3 Tage georgelt bis diese aktuell war. Aber dann hat TLS 1.2 funktioniert.
Benutzer
Avatar
Geschlecht:
Beiträge: 7068
Dabei seit: 06 / 2008
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 11:00 Uhr  ·  #15
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 309
Dabei seit: 12 / 2005
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 11:02 Uhr  ·  #16
Zitat geschrieben von infoman

seltsam, weil es steht ja explizit:
Zitat
IIS Crypto has been tested on Windows Server 2008, 2008 R2 and 2012, 2012 R2, 2016 and 2019.



Funktioniert nicht, habs extra eben nochmal getestet
siehe meinen Nachtrag von eben.
Das Tool macht nur die Registry-Einstellung
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 959
Dabei seit: 12 / 2004
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 11:31 Uhr  ·  #17
Zitat geschrieben von kontex

- für Server 2008 (ohne "R2") gibt es keine Lösung - keine Servicepacks mit denen man das erledigen kann.

Doch :)
https://support.microsoft.com/…in-windows
http://www.catalog.update.micr…=KB4019276

2008 "R1" + SP2 + KB4019276 + Reg Key

+
WinHTTP TLS 1.2 aktivieren:
https://support.microsoft.com/…cols-in-wi

und für den IE via gpedit:
Administrative Templates > Windows Components > Internet Explorer > Internet Explorer Control Panel > Advanced Page > Turn Off Encryption Support > Secure Protocol combinations = Use TLS 1.0, TLS 1.1, and TLS 1.2

Nicht vergessen: 2008 und 2008R2 Ende des Jahres EOS!
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 309
Dabei seit: 12 / 2005
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 12:01 Uhr  ·  #18
Zitat geschrieben von vader

Zitat geschrieben von kontex

- für Server 2008 (ohne "R2") gibt es keine Lösung - keine Servicepacks mit denen man das erledigen kann.

Doch :)
https://support.microsoft.com/…in-windows
http://www.catalog.update.micr…=KB4019276

2008 "R1" + SP2 + KB4019276 + Reg Key

+
WinHTTP TLS 1.2 aktivieren:
https://support.microsoft.com/…cols-in-wi

und für den IE via gpedit:
Administrative Templates > Windows Components > Internet Explorer > Internet Explorer Control Panel > Advanced Page > Turn Off Encryption Support > Secure Protocol combinations = Use TLS 1.0, TLS 1.1, and TLS 1.2

Nicht vergessen: 2008 und 2008R2 Ende des Jahres EOS!


Theorie, nicht Praxis !

Es nutzt nix wenn es da geschrieben steht. (Kenn den Text schon)
Es muss auch funktionieren.
Und nach meinen bescheiden Versuchen, und denen meiner Kollegen funktioniert es nicht.

Oder kannst du einen Fall bestätigen wo es mit "2008" funktioniert.

Ich hab da noch 2 2008er die ich per RDP erreiche ...

Und Dank für den EOS-Hinweis, auch bekannt.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 959
Dabei seit: 12 / 2004
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 12:15 Uhr  ·  #19
Hi

ich hatte das letzes Jahr mal ausprobiert.
Da ging es, aber nur wenn auch:

Administrative Templates > Windows Components > Internet Explorer > Internet Explorer Control Panel > Advanced Page > Turn Off Encryption Support > Secure Protocol combinations = Use TLS 1.0, TLS 1.1, and TLS 1.2

gesetzt wurde. Weil im IE selbst die settings für TLS 1.2 nicht existieren.

EDIT:
Das heißt natürlich nicht das man sich mit jedem Server verbinden kann, da dieser ggf nur neuere Chiphers verwendet die von 2008 nicht mehr unterstützt werden.
OS (als client) per:
https://www.ssllabs.com/ssltest/viewMyClient.html
testen (ciphers checken)
Zielserver per:
https://www.ssllabs.com/ssltest/
testen (ciphers checken und mit dem client vergleichen)
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 309
Dabei seit: 12 / 2005
Betreff:

Re: 22.07.2019 - TLS 1.0 wird bei den Genossenschaftsbanken Fiducia und GAD IT AG deaktiviert

 · 
Gepostet: 12.08.2019 - 12:33 Uhr  ·  #20
Zitat geschrieben von vader

Administrative Templates > Windows Components > Internet Explorer > Internet Explorer Control Panel > Advanced Page > Turn Off Encryption Support > Secure Protocol combinations = Use TLS 1.0, TLS 1.1, and TLS 1.2


Finde ich nicht in den Gruppenrichtlinien !
Bei "Internet Explorer Control Panel" hörts auf, den Eintrag sehe ich nicht.

Auf 2008 und 2008R2 nachgesehen
Gewählte Zitate für Mehrfachzitierung:   0