Deaktivierung veralteter SSL-Versionen zum 1.10.2018

Was ist TLS?

TLS steht für „Transport Layer Security“, ehemals SSL (Secure Sockets Layer) und dient der Verschlüsselung von verschiedenen Protokollen (z.B. SMTP)

Warum jetzt TLS-1.2?

Die Version 1.2 wurde 2008 veröffentlicht und ist die aktuelle produktive Version. Sie gilt noch als sicher. Die Vorgängerversionen (SSL) gelten spätestens seit Juni 2018 als verwundbar. (https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls)

Warum jetzt die SMTP-Server?

Bei Umstellungen bemühen wir uns, die Kompatibilität mit den etablierten Anwendungen und Verfahren zu berücksichtigen. Gerade bei SMTP müssen wir jedoch schnell reagieren, weil diese Systeme weltweit untereinander kommunizieren und das Risiko besteht, irgendwann abgeschnitten zu werden. (Andere Systeme, wie Posteingangsserver, Webserver, etc. werden folgen.)

Ändern sich Einstellungen in meinem Mailprogramm?

Nein, im Mailprogramm wird weiterhin „SSL“ oder „SSL/TLS“ als Verschlüsselung eingestellt. Moderne Mailclients handeln den Rest mit dem Server aus.

Sind alle aktuellen Betriebssysteme und Programme TLS-kompatibel?

Leider nein. Obwohl TLS schon länger State-Of-The-Art ist, haben einige Hersteller den Anschluß versäumt. Grundsätzlich kann man sagen, dass aktuelle, plattformübergreifend ausgelegte Mailprogramme, die ihre eigenen Verschlüsselungsbibliotheken nutzen (z.B. Mozilla-Thunderbird) ohne Probleme weiter funktionieren.

Für Windows 7 und 8 gibt es einen Registry-Patch, was bewirkt er?

Der Patch aktiviert das in Windows 7 und 8 vorhandene TLS-Protokoll mit folgenden Einträgen:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

(Hinweise: Zur Vereinfachung bieten wir Ihnen hier den Patch zum Download an. Voraussetzung für das Funktionieren ist ein aktuell gepatchtes Betriebssystem. Änderungen an der Registry erfolgen auf eigene Gefahr. Nach Änderung der Registry ist ein Neustart erforderlich. Registry-Patche sollten niemals aus unsicheren Quellen heruntergeladen und ohne Prüfung aktiviert werden)

Kann ich heute schon testen, ob mein Mailprogramm kompatibel ist?

Ja. Auf dem System „dvzmg3.fh-swf.de“ sind heute schon die Einstellungen vorgenommen, die später für „smtp.fh-swf.de“ aktiviert werden. Mit diesem System können Sie testen.

Bitte achten Sie darauf, dass Sie nach dem erfolgreichen Test wieder den Original-Server eintragen!!

Das ist mir alles zu kompliziert. Geht es nicht einfacher?

Ja, mit der Groupware (Mitarbeiter) und unserem Webmailer bieten wir serverbasierterte Mailclients an, die mit jedem gängigen Webbrowser nutzbar sind. Hier sind für Sie alle notwendigen Einstellungen gemacht.

Übersicht getesteter Kombinationen

Aufgrund der Fülle, der auf dem Markt befindlichen Systeme hier eine kurze Übersicht häufig verwendeter Kombinationen ohne Anspruch auf Vollständigkeit. Ergänzungen sind gerne willkommen (netadmin@fh-swf.de)

MacOS High Sierra (10.13.5)

Mozilla Thunderbird / Seamonkey-MailOK
Apple Mail (2.3445.8.2)OK
Outlook (14.0.0/MS-Office 2011)--
Outlook (15.37/MS-Office 2016)OK

Linux (aktuelle, div. Distributionen)

Mozilla Thunderbird / Seamonkey-MailOK

Windows (Vers. 7 u. 8)

Mozilla Thunderbird / Seamonkey-MailOK
Outlook (alle Versionen/MS-Office 201x)Nur mit
Registry-
Patch
TheBat! (Version >= 8.6)OK
Dank an Herrn Prof.
Dr. Janßen für die Info.

Windows 8.1 und 10 sollten mit allen aktuellen Outlook/Office-Versionen funktionieren, konnte aufgrund der Vielzahl von Kombinationen jedoch nicht getestet werden.
Für Windows Vista, XP und ältere ist kein TLS-Support vorhanden. Diese Systeme werden vom Hersteller auch nicht mehr gepflegt und sollten in vernetzten Systemen aus Sicherheitsgründen nicht mehr eingesetzt werden.
(https://blogs.technet.microsoft.com/schrimsher/2016/07/08/enabling-tls-1-1-and-1-2-in-outlook-on-windows-7/)

Mobile Endgeräte

Aktuelle mobile Endgeräte sind kompatibel.