Contact
QR code for the current URL

Story Box-ID: 920502

BitHawk AG Allee 1A 6210 Sursee, Switzerland http://www.bithawk.ch
Contact Mr Roland Marti +41 58 226 08 38
Company logo of BitHawk AG

Office 365 verabschiedet veraltete TLS-Version

(PresseBox) (Sursee, )
Ab 31. Oktober 2018 akzeptiert Office 365 ausschliesslich TLS-1.2-Verbindungen (Transport Layer Security). Goodbye, TLS 1.1 und 1.0 - mit Handlungsbedarf für IT-Leiter und IT-Engineers. 

Office 365 rekonfiguriert Ende Oktober seine Empfangs-Connectoren. Als Folge sendet ein Office-365-User unter TLS 1.2 zwar weiterhin E-Mail an 365-User ohne 1.2 auf anderen Servern, empfängt von diesen jedoch keine E-Mail mehr. So möchte Microsoft Non-1.2-User zu mehr Sicherheit durch Migration auf 1.2 zwingen. 

TLS 1.1 und 1.0: Zeitbomben jetzt entschärfen
1.0 und 1.1 als Microsoft-Implementierung erlebten vielleicht noch keine grössere Kompromittierung («Knacken»), doch möchte Microsoft zukunftssicher eine «Downgrade»-Attacke blockieren: Diese will die Nutzung einer veralteten Protokollversion mit bekannter Schwäche erzwingen. 

Als IT-Verantwortlicher sichern Sie die fortgesetzte Zusammenarbeit, speziell Kommunikation, mit 365-Usern (Kunden, Partner, Behörden) also per Upgrade Ihrer Systeme auf 1.2. Allgemein erzwingt maximale IT-Sicherheit ohnehin den stets neuesten Stand Ihrer Software, insbesondere Ihrer Betriebsysteme. Dies senkt zudem für jede Aktualisierung deren Aufwand, der dann ja nur den kleinen Sprung von der zweitjüngsten auf die neueste Version bedeutet. 

Ihre konkreten Schritte 
Folgende Betriebssysteme sowie Programmversionen als auch ihre Vorgängerversionen fielen bereits aus der Herstellerpflege und besitzen daher keine TLS-1.2-Umsetzung:
  • Safari 6.0.4/OS X 10.8.4
  • Android 4.3 
  • Firefox 5.0
  • Internet Explorer 8-10 (Windows 7)
  • Internet Explorer 10 (Win Phone 8.0)
Für lokale Microsoft Exchange Server installieren Sie folgende Patches: 

Exchange Server 2016
  • Cumulative Update (CU) 8
  • neueste Version des .NET-Frameworks (aktuell 4.7.1)
Exchange Server 2013
  • CU19
  • neueste Version des .NET-Frameworks
Exchange Server 2010
  • Service Pack (SP) 3, Rollup (RU) 19
  • neueste Version des .NET-Frameworks für den Exchange-Server 2010 (aktuell 3.5.1)
     
ältere Exchange Server Versionen
  • kein Support mehr
  • Falls Sie eine ältere Version einsetzen, empfehlen wir dringend das Upgrade auf mindestens 2010 oder Migration zu Exchange Online. 
Weil Exchange Server stets Windows Server als Betriebssystem benötigt, muss Ihre Windows Server Version also TLS 1.2 nutzen: 

Windows Server 2016 verschlüsselt standardmässig nach
  • TLS 1.2 als Protokoll
  • Halten Sie die neuesten Windows Updates installiert.
 
Windows Server 2012 R2
  • TLS 1.2 als Standard 
  • Installieren Sie Security-Update KB3161949 für die aktuelle Version von WinHTTP. 
  • Für SHA-512-Zertifikate installieren Sie KB2973337. 

Windows Server 2012
  • TLS 1.2 (Standard) 
  • Update KB3161949 
  • SHA-512-Zertifikate erzwingen KB2973337. 
  • Nur für Exchange 2010: KB3154519 für .NET Framework 3.5.1

Windows Server 2008 R2 SP1 
  • unterstützt zwar TLS 1.2, das jedoch im Standard deaktiviert ist. 
  • Security-Update KB3161949 für die aktuelle Version von WinHTTP 
  • Installieren Sie zudem das empfohlene optionale Update KB3080079 - es ermöglicht Remote-Desktop-Verbindungen per TLS 1.2. Rollen Sie dieses Update auch auf allen Windows-7-Clients aus, die einen Exchange Server auf Windows Server 2008 R2 SP1 nutzen. 
  • SHA-512-Zertifikate erfordern KB2973337. 
  • Ausschliesslich für Exchange 2010: KB3154519 für .NET Framework 3.5.1
Windows Server 2008 SP2 
  • TLS 1.2 - im Standard inaktiv 
  • Security-Update KB3161949 für die aktuelle Version von WinHTTP 
  • SHA-512-Zertifikate erzwingen KB2973337. 
  • Nur für Exchange 2010: KB3154519 für .NET Framework 3.5.1 
(Secure) POP/IMAP 
Auch diese beliebten Protokolle müssen TLS 1.2 für den Lesezugriff bezüglich Office-365-Anwendungen unterstützen. Testen Sie also das Lesen per Secure POP und Secure IMAP mit TLS 1.2. 

SMTP
  • SMTP als E-Mail Relay erfordert Herstellerberatung zum Upgrade auf TLS 1.2.
Besonders einfach überblicken Sie Ihre Situation per Analyse Ihres Datenverkehrs zu TLS-Versionen. 

Ihre aktuelle Übersicht von TLS-1.2-kompatiblen Browserversionen erhalten Sie auf ssllabs.com Link: https://www.ssllabs.com/ssltest/clients.html 

Wichtig: 
Zwar forciert Microsoft den Einsatz von TLS 1.2, doch daneben können in Ihrer IT-Landschaft 1.1 und 1.0 aktiv bleiben, etwa für andere Anwendungen. Berücksichtigen Sie dann jedoch das Risiko von Downgrade-Attacken auf die jeweiligen Subsysteme Ihrer Landschaft. Hierbei versuchen Sie Prognosen, welches Risiko das jeweils infiltrierte Subsystem für das Gesamtsystem darstellen würde. 

Hintergrund und Ausblick zu TLS 
Transport Layer Security (Transportschichtsicherheit, früher Secure Sockets Layer - SSL) sichert Internet-Datentransfer als hybrides Verschlüsselungsprotokoll. Als letzte Version vor TLS 1.0 diente dazu SSL 3.0 (SSL 3.1 bezeichnet inoffiziell TLS 1.0). 

Insgesamt liegt TLS zwischen dem Internet (im Sinne von IP) und Anwendungen wie HTTPS sowie IMAPS und POP3S. Die Mehrheit der Webserver nutzt noch ältere Versionen als TLS 1.2. 

Während TLS 1.2 als recht moderner Standard sehr gute Sicherheit verspricht, hat die Internet Engineering Task Force (IETF) unlängst RFC 8446 verabschiedet. Somit zeichnet sich langfristig eine weitere Migration auf TLS 1.3 ab. 

TLS 1.3 bietet noch modernere Transportverschlüsselung. Damit entfallen dubiose sowie definitiv verletzbare Algorithmen (RC4, SHA-1 und andere). So gestalten sich Downgrade-Angriffe (Logjam, FREAK etc.) noch aufwendiger oder unmöglich. Dazu gesellt sich höhere Integrität verschlüsselter Daten bei verdeckteren Metadaten zum Inhalt eines Transfers unter TLS.

Autor: Mitrovic Manojlo, System Engineer, Bison IT Services AG

Website Promotion

Website Promotion
Bison IT Services AG

BitHawk AG

Bison IT Services schafft Lösungen für KMUs und Grossunternehmen, welche ihre Marktposition mit der IT zusätzlich stärken wollen. Unsere Kunden schätzen die enge und persönliche Zusammenarbeit und wissen, dass sie einen Partner an der Seite haben, der ihre Herausforderungen bis ins Detail versteht. Unser Antrieb besteht darin, die Wettbewerbsfähigkeit unserer Kunden zu erhöhen. Das bedeutet: Wir geben alles, um Ihren Nutzen zu steigern und so Ihre Kosten zu optimieren.

Die Bison IT Services mit Hauptsitz in Sursee beschäftigt rund 200 Mitarbeitende. Weitere Standorte befinden sich in Basel, Bern und Winterthur. Die Kernkompetenzen der Bison IT Services liegen in den Bereichen Consulting, Engineering und Operations von IT-Infrastrukturen.

Das Lösungsportfolio umfasst die Themen Netzwerk, Storage, Virtualisierung, Cloud Computing, Security, Unified Communications, Retail und Digital Signage Solutions. Qualifizierte Spezialisten in Software-, System- und Kommunikationstechnologie beraten Kunden im Hinblick auf eine langfristig sinnvolle und anpassungsfähige IT-Umgebung. Ein umfassender Service Desk und ein eigenes Repair Center garantieren höchste Verfügbarkeit und schnelle Reaktionszeiten.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.