/ security

Depreciation: TLSv1.0 & v1.1

GitHub hat's schon vor einiger Zeit getan, Google, MS und Apple machen mit und wir reihen uns ein:

TLSv1.0 und v1.1 ist ab 01.05.2019 für U6 und U7 Geschichte.
Es wird keine Möglichkeit geben die Protokolle wieder zu aktivieren.

Show me the Data

Seit geraumer Zeit loggen wir mit, welche TLS-Version, welches Cipher von welchen User-Agent Clients verwenden, um HTTPS-Verbindungen zu uns aufzubauen. Eine Uhrzeit oder gar persönliche Daten kommen in diesen Logs nicht vor.

image

Bei der Analyse dieser Logs über alle U7-Hosts konnten wir rund 3% unserer (eurer!) Requests TLSv1.0 oder v1.1 zuordnen. Dabei entfällt das allermeiste auf v1.0; v1.1 wird kaum bis nicht verwendet, da fast alle 1.1er Clients auch v1.2 sprechen und dann gleich das verwenden. Die Top-4-User-Agents:

  • Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; Trident/5.0)
  • Mozilla/5.0 (compatible; AlphaBot/3.2; +http://alphaseobot.com/bot.html)
  • Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36

Es ist nun natürlich unklar, ob wir es hier tatsächlich mit einem Firefox/40.1 oder ein Chrome 63 zu tun haben oder mit irgendeinem Bot/Script mit diesem UA.

Auch wenn die Analyse-Sektion etwas kurz ist, wollten wir sie euch der Transparenz wegen nicht vorenthalten. Viel Spaß mit TLSv1.2 (und bald natürlich v1.3)!


Photo by Travis Saylor

Depreciation: TLSv1.0 & v1.1
Share this