Deaktivierung von TLS 1.0 und TLS 1.1 bei STRATO

[Grimba]

Ich glaube aber, da gibt es kein Update mehr!?

Wozu die "!?" ?
Hier kennt keiner das Tablet deiner Frau. Allwissende Kristallkugel ist auch eben vom Tisch gerollt, so ein Pech...

Wie gesagt: Gehe davon aus, dass es TLS 1.2 kann. TLS 1.3 ist eine andere Frage, das kam nämlich 2018 raus. Aber aktuell reicht TLS 1.2 laut den Anforderungen von Strato, zumindest wie von dir beschrieben.

 

[Helge01]

Bei dieser alten Android Version bin ich mir nicht sicher, ob diese TLS 1.2 unterstützt. Du hast vermutlich von SSL 3.0 auf TLS 1.0 bzw. TLS 1.1 umgestellt. Das wirst du spätestens dann merken, wenn STRATO die alten Protokolle abschaltet.

 

[Grimba]

Android 4.1.2 stammt von 2012. Das sollte TLS 1.2 können. Es reicht ja schon, wenn die E-Mail App oder der Browser das kann.

 

[Dr. McCoy]

Android 4.1.2 stammt von 2012. Das sollte TLS 1.2 können.

Leider nein:
-> https://support.globalsign.com/ssl/general-ssl/tls-protocol-compatibility

 

[Helge01]

Android 4.1.2 aus dem Jahr 2012 unterstützt nur bis TLS 1.0.

Es reicht ja schon, wenn die E-Mail App oder der Browser das kann.

Da Android 4.1.2 das API level 16 hat, ist auch das sehr unwahrscheinlich bzw. unmöglich.

Das sagt SSL Labs dazu, die Android Version 4.1.2 war nicht vorhanden, deswegen die Version 4.1.1.

 

[Grimba]

Tja, wieder was gelernt.

Unmöglich ist es nicht. Hindert dich niemand, das in dein Programm zu backen. Aber auf der Ebene wird‘s wohl keiner gemacht haben.

 

[F-Klaus]

Ich habe umgestellt auf: TLS (Alle Zertifikate akzeptieren), was das auch immer heißt.
Mal sehen, ob es nach der Umstellung noch geht. Wenn nicht, ist ein neues Tablet fällig oder sie muss mit dem Handy eMails verwalten! :-)

 

[Grimba]

Ehrlich gesagt würde ich von so einer Einstellung Abstand nehmen. Wenn du alle Zertifikate akzeptierst, akzeptierst du auch solche, die selbstsigniert, zurückgerufen, abgelaufen und/oder schlimmstenfalls fake sind. Das solltest du nicht tun.

 

[F-Klaus]

Oh, aber was anderes kann ich nicht einstellen!

 

[Grimba]

Das einzige, was mir da noch eingefallen wäre, wäre K9 Mail zu nutzen. Allerdings benutzt das die vom Betriebsystem zur Verfügung gestellten OpenSSL bzw. TLS Versionen. Das bringt dich also auch nicht weiter.

D.h. ich würde das alte Ding in Rente schicken. Android 4.1.2 ist nun wirklich einfach zu alt, um sicher daueronline betrieben zu werden.
Alternativ könnt ihr euch nach einem CustomROM mit neuerer Android Version für euer Gerät umschauen. Da müsstest du aber selber mal nach googlen, damit kenne ich mich nur am Rande aus.

 

[Helge01]

Alle Zertifikate akzeptieren würde ich wieder deaktivieren. Aber es nützt alles nichts, wenn STRATO die alten Protokolle abschaltet geht es nicht mehr. Auch wirst du allgemein Probleme bekommen, da viele Webseiten zunehmend nur noch >TLS 1.2 unterstützen.

 

[BeBur]

Wenn kein TLS 1.2 unterstützt wird, dann ändert keine Einstellung etwas daran, also kannst du diese sehr unsicherer Einstelllung guten Gewissens wieder so einstellen, wie sie vorher war.

 

[F-Klaus]

OK, werde ich machen und schauen was kommt!
Danke an alle!

Wollte es umstellen auf SSL, aber das war dummerweise nicht mehr möglich - hat sich einfach geweigert, das SSL anzunehmen - also blieb mir nicht anderes übrig, als bei TLS (Alle Zertifikate akzeptieren) zu bleiben.

 

[F-Klaus]

Alternativ könnt ihr euch nach einem CustomROM mit neuerer Android Version für euer Gerät umschauen.

Das werde ich mal versuchen!
Aber ein neues wäre auch mal nötig, dann wäre ich das Prob los und hätte keine Arbeit mit Rooten usw.

Habe heute den eMail-Account auf dem Tablet gelöscht!

 

[UnknownUser1001]

Hallo zusammen,

einen schlechteren Zeitpunkt für die Service Um- bzw. Einstellung als während der Corona, wo alle auf elektronische Kommunikation angewiesen sind, kann es wahrscheinlich nicht geben.

Ernsthaft, hatten Strato Admins oder Management Langeweile?

Ich würde an Eurer Stelle der TLS Änderung widersprechen.

Es gibt keine wirklichen Beweise für den Hack von TLS1. Da soll Strato lieber ihr Spam-Problem auf die Reihe bekommen, statt Benutzer dazu zu zwingen neues SW oder HW zu erwerben.

Schöne Grüße
Maxl

p.s.
sorry, ganz vergessen: gmail, gmx & co unterstützen weiterhin TLS 1.0 bis 1.3. Vielleicht soll man in Erwägung ziehen, einen "Qualitätsprovider" wie Strato zu verlassen.

 

[Dr. McCoy]

einen schlechteren Zeitpunkt für die Service Um- bzw. Einstellung als während der Corona, wo alle auf elektronische Kommunikation angewiesen sind, kann es wahrscheinlich nicht geben.

Nein, das ist kein schlechter Zeitpunkt, weil ja das Abschalten der alten unsicheren Verschlüsselungsstandards schon lange vorher klar war und auch schon viel früher hätte umgesetzt sein sollen. Hier dazu ein Beispiel:
-> https://www.deskmodder.de/blog/2020...-nun-wirklich-jetzt-auch-die-paket-downloads/

Und: Wer stets aktuelle Software nutzt, hat diese Probleme sowieso nicht, weil diese die neuen Standards längst beherrscht. Wer auf die "elektronische Kommunikation angewiesen ist", sollte ohnehin schon weit früher als erst heite dafür gesorgt haben, dass er künftig einwandfrei mit den "neuen" Standards kommunizieren kann. Hat man dies nicht, ist das ein klares Versäumnis auf eigener (Nutzerseite), und kein von Strato oder einem anderen Unternehmen verursachtes Problem!

Ernsthaft, hatten Strato Admins oder Management Langeweile?

Nein. Das hat technische, vor allem sicherheitstechnische Gründe. Und diese liegen im Interesse der Nutzer, schließlich geht es auch um möglichst sichere Datenübertragungen, die übrigens insbesondere im Zuge von Corona und HomeOffice nochmal eine besondere Bedeutung bekommen!

Ich würde an Eurer Stelle der TLS Änderung widersprechen.

Das ist völlig abwegig, weil das Ganze keine Idee von Strato ist, sondern ein vereinfacht ausgedrückt "allgemeiner Ablauf im Web", der alle Dienste und Anbieter betrifft.

Es gibt keine wirklichen Beweise für den Hack von TLS1. Da soll Strato lieber ihr Spam-Problem auf die Reihe bekommen, statt Benutzer dazu zu zwingen neues SW oder HW zu erwerben.

Tja, und die Spam-Probleme haben ihren Ursprung eben oft überhaupt erst bei den vielen Nutzern, die viel zu lange mit alter und unsicherer Software unterwegs sind. Ursache und Wirkung! Also bring Deine Software auf einen (wenigstens) halbwegs aktuellen Stand, und Du hast keine Probleme.

 

[UnknownUser1001]

Servus Herr Doktor,

ein striktes Nein klingt erstmal sehr knackig bis man selbst betroffen ist. Wenn ein Benutzer sich neue Hardware anschaffen soll nur weil ein älteres Protokoll gegen ein altes Protokoll für SMTP aus 60gern in einer Nacht und Nebel Aktion während einer Weltweiten Pandemie ausgetauscht werden soll, ist schon irgendwie lächerlich...

Neuster Stand ist schön und gut, nun wenn es keine schlagkräftigen Beweise für die Nachteile vorliegen, ist es eine blosse Beschäftigungstherapie für alle beteiligten. Was kommt als nächstes? Gebührenerhöhung? ;-)

Schöne Grüße
Maxl

 

[Grimba]

Du redest halt Mist.

https://nvd.nist.gov/vuln/detail/CVE-2011-3389

https://medium.com/@c0D3M/beast-attack-explained-f272acd7996e

https://datatracker.ietf.org/doc/html/rfc8996

 

[Dr. McCoy]

in einer Nacht und Nebel Aktion

Nochmal: Das ist keine "Nacht- und Nebel-Aktion", weil u.a. Microsoft dies schon vor Jahren(!) angekündigt hatte!
-> https://www.heise.de/news/IETF-erklaert-TLS-Urvaeter-1-0-und-1-1-als-veraltet-5997963.html

Eine Überraschung ist das Ende der 1999 beziehungsweise 2006 erschienenen Versionen aber nicht: Schon im Herbst 2018 hatte Microsoft angekündigt, mindestens TLS 1.2 in seinen Browsern verwenden zu wollen. [...]

Apple, Google und Mozilla haben die veralteten Protokolle ebenfalls schon im Frühjahr beziehungsweise Sommer 2020 deaktiviert. Ursprünglich wollten alle Browser-Hersteller TLS 1.0 und 1.1 schon ab März 2020 nicht mehr benutzen. Das hat sich aber vermutlich aufgrund der Coronavirus-Epidemie verzögert.

Sprich: Man hat also sogar extra noch länger gewartet, wegen Corona. Seit über einem Jahr inzwischen ist es aus den Browsern raus! Selbst heise spricht von langen Vorlaufzeiten:

Aufgrund der langen Vorlaufzeiten dürften Endanwenderinnen und Endanwender in der Praxis vom Ende der Protokolle heute wenig bis gar nichts spüren.

Zitate heise.de Ende. Jeder hatte also jahrelang Zeit, sich bereits vor der Pandemie darauf vorzubereiten, als man von der Pandemie noch gar nichts wusste.

Neuster Stand ist schön und gut, nun wenn es keine schlagkräftigen Beweise für die Nachteile vorliegen, ist es eine blosse Beschäftigungstherapie für alle beteiligten. Was kommt als nächstes? Gebührenerhöhung? ;-)

Das ist nicht zutreffend. Ich hatte oben extra bereits den heise-Artikel verlinkt, da stehen Verlinkungen zu Sicherheitsproblemen:
-> https://www.heise.de/security/meldung/Tool-soll-SSL-Cookies-in-zehn-Minuten-knacken-1346257.html
-> https://www.heise.de/security/meldu...n-Millionen-Webseiten-angreifbar-2566444.html

 

[UnknownUser1001]

Würde ich mich an deiner Stelle nicht soweit aus Fenster lehnen... ;-)

https://www.electronicdesign.com/te...evolution/article/21807252/11-myths-about-tls