Deaktivierung der Unterstützung veralteter TLS-Ciphers
Im Rahmen unseres Informationssicherheitsmanagements überprüfen wir kontinuierlich unsere getroffenen Sicherheitsvorkehrungen. Hierzu gehört auch die Verwendung kryptographischer Verfahren, die u.A. bei der eingesetzten Transportverschlüsselung (TLS) zum Einsatz kommen. Dabei orientieren wir uns an den aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), um Ihnen den größtmöglichen Schutz bieten zu können.
Wir planen daher im Februar 2025 die Unterstützung für einige mittlerweile veraltete TLS-Ciphers abzuschalten, um ausschließlich aktuelle und sichere Verfahren zu unterstützen.
Bin ich betroffen?
Unsere Analysen haben ergeben, dass ca. 0,05% unserer Nutzer von dieser Änderung betroffen sein werden. Es ist grundsätzlich also extrem unwahrscheinlich, dass Sie davon betroffen sind.
Falls Sie veraltete Verfahren einsetzen und Einsatzdaten über einen Leitstellen-Account einspeisen, haben wir Sie bereits aktiv kontaktiert, um über die Umstellung zu informieren.
Wie kann ich handeln?
- Falls Sie eine Schnittstelle innerhalb Ihres Leitsystems einsetzen, kontaktieren Sie umgehend den Hersteller der Schnittstelle und bitten um Überprüfung der TLS-Unterstützung.
- Falls Sie eine selbst entwickelte Schnittstelle verwenden, überprüfen Sie die Aktualität der verwendeten Softwarebibliotheken.
- Falls Sie BosMon einsetzen, müssen Sie auf die aktuellste Version, mindestens aber auf v2023.09 vom 15.06.2024 aktualisieren.
Wenden Sie sich gerne an uns über support@divera247.com, wenn sie Unterstützung benötigen.
Welche TLS-Versionen werden künftig noch unterstützt?
Es werden weiterhin die TLS-Versionen 1.2 und 1.3 unterstützt, hieran ändert sich nichts.
Welche TLS Ciphers werden künftig noch unterstützt?
Folgende TLS-Konfigurationen werden weiterhin unterstützt werden:
TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128) Mac=AEAD TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH Au=RSA Enc=CHACHA20/POLY1305(256) Mac=AEAD
Folgende TLS-Konfiguration wird nicht mehr unterstützt werden, da hier der Betriebsmodus GCM nicht eingesetzt wird:
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
Welche TLS-Einstellung wird empfohlen?
Wir empfehlen bei einer Anpassung auf eine beliebige TLS 1.3 Cipher zu wechseln, diese sind nach aktuellem Stand der Technik die sicherste Wahl und werden bis 2030+ vom BSI empfohlen.