Firefox 74 verlängert nun doch Support für TLS 1.0 und TLS 1.1

Anfang des Jahres hatte Mozilla angekündigt, mit Firefox 74 ab dem 10. März Websites, die TLS 1.0 und TLS 1.1 nutzen als unsicher zu mar­kie­­ren. Jetzt gibt es eine vorübergehende Aussetzung - denn man möchte ver­hindern, dass es in ... mehr... Browser, Logo, Firefox, Mozilla, Mozilla Firefox, Mozilla Foundation Bildquelle: Mozilla Browser, Logo, Firefox, Mozilla, Mozilla Firefox, Mozilla Foundation Browser, Logo, Firefox, Mozilla, Mozilla Firefox, Mozilla Foundation Mozilla

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Gute Sache seitens Mozilla
 
Zitat: Wir haben die Änderung für eine unbestimmte Zeit rück­gängig gemacht, um den Zugriff auf kritische Regierungsseiten, die COVID19-Informationen austauschen, besser zu ermöglichen.

Sollten sich die Betreiber der Regierungsseiten nicht in Grund und Boden schämen?
 
@Hanni&Nanni: Naja, wir wollen nicht so hart sein.

Vielleicht ist der Admin seit >7 Jahren im Urlaub.
 
@dpazra: *lach* Ja... So muss es sein. ;-)
 
Sinnvoll von Mozilla.

Allerdings sehr bedenklich, dass es scheinbar kritische Behördenseiten gibt, die kein TLS 1.2 können. TLS 1.2 Unterstützung ist im Jahr 2012 zu nginx und OpenSSL hinzugefügt worden, die letzte Debian-Version, die mit nginx und OpenSSL ausgeliefert worden sein dürfte, die keine Unterstützung für TLS 1.2 hatten, müsste Squeeze sein, dessen Long-Term-Support vor guten 4 Jahren auslief (3 Jahre nach Release der Nachfolgeversion).
Die Unterstützung für TLS 1.2 erfordert eine Änderung in einer Zeile einer Textdatei zur Konfiguration einer Webseite in nginx.

Ich habe exemplarisch nginx, Debian und OpenSSL herangezogen, bei Alternativen dürfte es ähnlich aussehen.

Diese Überlegungen führen mich zu folgenden Fragen:
- Werden kritische Behördenwebseiten mit uralter Serversoftware mit bekannten Sicherheitslücken betrieben?
- Werden kritische Behördenwebseiten von Administratoren betreut, die von Anfang des Jahres bis jetzt nicht imstande waren, eine ohnehin seit Jahren überfällige Konfigurationsänderung vorzunehmen? Gibt es für diese Webseite überhaupt einen lebenden Administrator?
 
@dpazra: es gibt genügend Länder, in denen solche Infrastruktur nicht sinnvoll gewartet wird.
Ich kenne auch in Asien in einem Hightech-Land Regierungs-Mailserver, die generell eine Transportverschlüsselung ablehnen.

Es wird leider immer noch irgendwo Seiten geben, die kein TLS 1.2 können. Ob aus Fehlkonfiguration oder weil die Server veraltet sind, keine Ahnung.

Möglicherweise werden wegen der Pandemie jetzt auch irgendwo mal schnell Informationen veröffentlicht auf Systemen, die halt vorher jahrelang nicht angefasst wurden.
 
@der_ingo: Hoffentlich wurden die Informationen in dem jahrelang nicht angefassten System dann tatsächlich von der jeweiligen Regierung veröffentlicht und nicht von einem Scherzbold, der sich mithilfe irgendeines Exploits, der in den letzten 10 Jahren bekannt wurde, in dem jeweiligen System eingelogt hat.
 
Warum muss man TLS Support KOMPLETT entfernen. Warum lässt man nicht "lokale" Server weiterhin mit TSL 1.x zu, und "externe" Seiten MÜSSEN TLS1.2-1.3 verwenden.
 
@The Master:
Vorteile:
- Der IT-Mann im Firmennetzwerk kann weiterschlafen und seine Infrastruktur mit obsoleter Software betreiben.

Nachteile:
- Der IT-Mann im Firmennetzwerk kann weiterschlafen und seine Infrastruktur mit obsoleter Software betreiben.
- Code-Komplexität steigt (du änderst einen Header und es entsteht ein Compilerfehler in einer Funktion, die nur noch für TLS 1.0 benutzt wird, wer bezahlt dem FF-Entwickler die Zeit in der er sich mit diesem Problem auseinandersetzt?)
- Kompilierzeit steigt (Zeit/Kosten für die FF-Entwickler)
- in Features die fast keiner nutzt bleiben Sicherheitslücken lange unentdeckt.
 
"Der Warnhinweis könnte nun Internetnutzern den falschen Eindruck vermitteln (...), dass die Informationen auf den Webseiten falsch wären oder die Quellen nicht nachprüfbar."
Nun ja, wenn die Leute nicht mal in der Lage sind einen Webserver dem Stand der Techink entsprechend zu konfigurieren, könnte der Eindruck berechtigt sein, dass sie sonst auch nicht viel auf die Reihe kriegen.
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:05 Uhr Huion Grafiktablett mit DisplayHuion Grafiktablett mit Display
Original Amazon-Preis
242,00
Im Preisvergleich ab
400,99
Blitzangebot-Preis
205,70
Ersparnis zu Amazon 15% oder 36,30