Deaktivierung der Unterstützung veralteter TLS-Ciphers

Im Rahmen unseres Informationssicherheitsmanagements überprüfen wir kontinuierlich unsere getroffenen Sicherheitsvorkehrungen. Hierzu gehört auch die Verwendung kryptographischer Verfahren, die u.A. bei der eingesetzten Transportverschlüsselung (TLS) zum Einsatz kommen. Dabei orientieren wir uns an den aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), um Ihnen den größtmöglichen Schutz bieten zu können.

Wir planen daher im Februar 2025 die Unterstützung für einige mittlerweile veraltete TLS-Ciphers abzuschalten, um ausschließlich aktuelle und sichere Verfahren zu unterstützen. 

Bin ich betroffen?

Unsere Analysen haben ergeben, dass ca. 0,05% unserer Nutzer von dieser Änderung betroffen sein werden. Es ist grundsätzlich also extrem unwahrscheinlich, dass Sie davon betroffen sind.

Falls Sie veraltete Verfahren einsetzen und Einsatzdaten über einen Leitstellen-Account einspeisen, haben wir Sie bereits aktiv kontaktiert, um über die Umstellung zu informieren.

Wie kann ich handeln?

  • Falls Sie eine Schnittstelle innerhalb Ihres Leitsystems einsetzen, kontaktieren Sie umgehend den Hersteller der Schnittstelle und bitten um Überprüfung der TLS-Unterstützung.
  • Falls Sie eine selbst entwickelte Schnittstelle verwenden, überprüfen Sie die Aktualität der verwendeten Softwarebibliotheken.
  • Falls Sie BosMon einsetzen, müssen Sie auf die aktuellste Version, mindestens aber auf v2023.09 vom 15.06.2024 aktualisieren.

Wenden Sie sich gerne an uns über support@divera247.com, wenn sie Unterstützung benötigen.

Welche TLS-Versionen werden künftig noch unterstützt?

Es werden weiterhin die TLS-Versionen 1.2 und 1.3 unterstützt, hieran ändert sich nichts.

Welche TLS Ciphers werden künftig noch unterstützt?

Folgende TLS-Konfigurationen werden weiterhin unterstützt werden:

TLS_AES_256_GCM_SHA384         TLSv1.3 Kx=any      Au=any   Enc=AESGCM(256)            Mac=AEAD
TLS_AES_128_GCM_SHA256         TLSv1.3 Kx=any      Au=any   Enc=AESGCM(128)            Mac=AEAD
TLS_CHACHA20_POLY1305_SHA256   TLSv1.3 Kx=any      Au=any   Enc=CHACHA20/POLY1305(256) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256  TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128)            Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256    TLSv1.2 Kx=ECDH     Au=RSA   Enc=AESGCM(128)            Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384  TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256)            Mac=AEAD
ECDHE-RSA-AES256-GCM-SHA384    TLSv1.2 Kx=ECDH     Au=RSA   Enc=AESGCM(256)            Mac=AEAD
DHE-RSA-AES128-GCM-SHA256      TLSv1.2 Kx=DH       Au=RSA   Enc=AESGCM(128)            Mac=AEAD
DHE-RSA-AES256-GCM-SHA384      TLSv1.2 Kx=DH       Au=RSA   Enc=AESGCM(256)            Mac=AEAD
ECDHE-ECDSA-CHACHA20-POLY1305  TLSv1.2 Kx=ECDH     Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD
ECDHE-RSA-CHACHA20-POLY1305    TLSv1.2 Kx=ECDH     Au=RSA   Enc=CHACHA20/POLY1305(256) Mac=AEAD


Folgende TLS-Konfiguration wird nicht mehr unterstützt werden, da hier der Betriebsmodus GCM nicht eingesetzt wird:

ECDHE-RSA-AES128-SHA256        TLSv1.2 Kx=ECDH     Au=RSA   Enc=AES(128)               Mac=SHA256

Welche TLS-Einstellung wird empfohlen?

Wir empfehlen bei einer Anpassung auf eine beliebige TLS 1.3 Cipher zu wechseln, diese sind nach aktuellem Stand der Technik die sicherste Wahl und werden bis 2030+ vom BSI empfohlen.

Verwandte Artikel