Noch altes TLS 1.0 und 1.1 einsetzen?

Patrick Ben Koetter p at sys4.de
Di Feb 18 19:36:00 CET 2020


Hallo Daniel!

* Daniel <postfixbuch-users at listen.jpberlin.de>:
> setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere
> Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B. iPhone4, und nach
> dem Motto "lieber schlechte Verschlüsselung als keine"?

Teilweise konfigurieren wir die Plattformen unserer Kunden nach der Devise
"besser schwache/alte Transportverschlüsselung als keine". Dem geht in der
Regel eine Analyse des SMTP-Verkehrs voraus und der Kunde kann dann nach
Datenlage entscheiden, für wen er die Standards senken möchte oder muss. Wir
raten den Kunden auch ihren (geschäftlichen) Kommunikationspartnern aber auch
klare Zeitziele zu setzen. Das Spiel nennt sich "comply or explain".

> Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert,
> wenn diese auch keinen Wert auf aktuelles System legen?
> 
> Auszug von https://marius.bloggt-in-braunschweig.de/2018/02/21/mailserver-gebrochenes-tls-im-einsatz/ :
> Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
> werden nicht mehr empfohlen.
> 
> Für die Bundesverwaltung hat das BSI einen Mindeststandard zum Einsatz von
> TLS entwickelt, der für die Stellen des Bundes verbindlich umzusetzen ist:
> https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf 
> https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll_node.html
> 
> Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
> fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Die Betonung liegt auf "fordert". Die Mailplattformen der Behörden sind vielen
Herausforderungen unterworfen. Da gehören Migrationen, wie z.B. der Wechsel
vom IVBB zum NDB – mit Featurefreeze, Upgrade-Stop und Reorganisation - ebenso
dazu wie Beschaffungszeiträume von 1-2 Jahren für einfache Dinge. Der
Forderung steht also die Fähigkeit dieser nachkommen zu können gegenüber.

Wichtig ist IMO ein klares Bekenntnis zu einem Ziel, wie z.B. "TR-02102-2
umsetzen", eine Standortbestimmung und ein Weg dorthin. Disruptiv, wie es so
viele Admins in ihrer eigenen Welt leben können, weil die Abhängigkeiten so
gering sind, ist bei den Behörden gar nichts.

Oder wie es ein Herr vom BSI kürzlich beim Treffen der KG E-Mail der eco.de
sagte: "Meine Damen und Herren, wenn man in der Verwaltung des Bundes tätig
ist denkt man in Jahrzehnten, um Features umzusetzen." Ich sehe das ähnlich
und bemühe dafür immer diesen Spruch von REWE: "Jeden Tag ein bisschen
besser…"

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



Mehr Informationen über die Mailingliste Postfixbuch-users