Die Versionen 1.0 (1999 veröffentlicht) und 1.1 (2006 veröffentlicht) vom Verschlüsselungsprotokoll TLS gelten bereits seit längerer Zeit als angreifbar und sind stark veraltet.
Im laufe der Zeit wurden immer mehr Sicherheitslücken bekannt. Angriffe über diese bekannten Sicherheitslücken sind aber nicht so einfach durchzuführen, dennoch besteht ein entsprechendes Risiko. Denn diese beiden Protokolle verwenden die extrem in die Jahre bekommenden Hash Verfahren MD5 und SHA-1.
Dementsprechend haben auch bereits die großen Browser-Entwickler wie Microsoft, Google, Mozilla und Apple diese TLS Versionen als unsicher eingestuft und werden die Unterstützung in deren Programmen bis spätestens Anfang 2020 vollständig entfernen.
Auch Bezahldienste wie PayPal oder die PCI-Security Vorgaben der Kreditkartenunternehmen untersagen den Betrieb von TLS 1.0 bereits seit dem 20.06.2018.
Ein sicherer Betrieb, wie es von der DSGVO und dem BSI gefordert wird, kann zukünftig nur gewährleistet werden, wenn diese unsicheren TLS Protokolle vollständig abgeschaltet werden.
Dementsprechend wurden bereits bei allen unseren Webhosting- und Webhosting Reseller-Servern die TLS Version 1.0 im letzten Jahr abgeschaltet. Auch bei einem großen Teil aller Managed- und Agenturserver ist TLS 1.0 bereits seit dem letzten Jahr deaktiviert. Es gibt aber noch eine Hand voll Server, auf denen TLS 1.0 auf Kundenwunsch aktiv ist.
Mit dem kommenden cPanel-Update (15.07.2019) werden unsere Server bei neuen oder verlängerten SSL Zertifikaten nur noch die TLS Protokoll Versionen 1.2 und neuer unterstützen. Dies betrifft sowohl unsere Webhosting- & Webhosting-Reseller-Server als auch alle Managed- und Agenturserver.
Eine unverschlüsselte Verbindung zum Server kann gar nicht mehr hergestellt werden. Dies wurde bereits 2018 in früheren Updates zur Einhaltung der DSGVO unterbunden.
Sobald sich also ab diesem Zeitpunkt Ihr SSL Zertifikat oder das damit verbundene Stammzertifikat erneuert und sich damit Ihre Konfiguration aktualisiert, können Sie sich nur noch mit den aktuell sicheren TLS Protokollen TLS 1.2 oder neuer verbinden.
Was ist nun zu tun?
Damit Sie auch nach dem 15.07.2019 fehlerfrei eine Verbindung mit dem Mailserver herstellen können, müssen Sie sicher stellen das Sie ein aktuelles EMail Programm und auch ein aktuelles Betriebssystem verwenden.
Auch müssen Sie sicher stellen, dass in Ihrer EMai-Programm-Konfiguration der Abruf mit dem Verschlüsselungsprotokoll "TLS" aktiviert ist.
Programme und Betriebssysteme die TLS 1.2 offiziell unterstützen
Microsoft Outlook 2016 (nur wenn alle Windows- und Office-Updates installiert sind)
Microsoft Outlook 2019
Mozilla Thunderbird 52.0 und neuer
Microsoft Windows 7 / Server 2008 R2
Microsoft Windows 8 / Server 2012
Microsoft Windows 8.1 / Server 2012 R2
Microsoft Windows 10 / Server 2016
Microsoft Windows Server 2019
Apple OS X Sierra und neuer
Apple IOS 9 und neuer
Android 5.0 und neuer
Google Chrome 29 und neuer
Mozilla Firefox 24 und neuer
Dies ist aber nur ein kleiner Auszug, mit den am häufigsten verwendeten Programmen. Wenn Sie ein anderes Programm verwenden empfehlen wir Ihnen sich einmal beim Hersteller des Programmes zu erkundigen ob dieses TLS 1.2 oder neuer unterstützt.
Wenn Ihr Programm und / oder Betriebssystem TLS 1.2 und neuer nicht unterstützt, können Sie damit nach der Umstellung keine Verbindung zum Mailserver herstellen.
Weitere ausführliche Informationen zur TLS 1.2 Migration können Sie auch dem folgenden Dokument vom BSI entnehmen:
