Webhosting: Hilfe & Tipps

Nutzung von TLS 1.2 für ältere Betriebssysteme (Windows, Mac)

Über TLS 1.0

TLS ist ein Verschlüsselungsprotokoll zur Übertragung von Daten im Internet. TLS 1.0 wurde 1999 eingeführt und gilt seit Jahren als unsicher – es gibt viele gravierende Sicherheitslücken, die auch unmittelbar Onlineshop-Betreiber bedrohen.

 

Wieso nutzt mein System eine alte unsichere TLS-Version?

TLS 1.0 wurde im Jahr 2006 von TLS 1.1 abgelöst, im Jahr 2008 folgten dann TLS 1.2 sowie in 2018 die aktuelle Version TLS 1.3 . Ältere Programme oder Betriebssysteme referenzieren teilweise jedoch immer noch auf die alte TLS-Version 1.0 und ändern dies erst durch entsprechende Aktualisierungen.

 

Wann wird TLS 1.0 abgeschaltet?

Nachdem wir den Abschaltungstermin im Dezember 2018 bereits einmal aufgrund vielfachem Kundenwunsch verschoben haben, wurde die Unterstützung von TLS 1.0 endgültig von uns am 4. Februar 2019 eingestellt. Ihr Betriebssystem muss daher seit diesem Datum eine aktuelle, sichere TLS-Version (z.B. TLS 1.2) unterstützen, um weiterhin Verbindungen per FTP- oder zum E-Mail-Server aufbauen zu könnnen.

 


 

Wie kann ich eine aktuelle TLS-Version nutzen?

 

Windows / Exchange / Microsoft Server:

 

Die einfachste Lösung zur Unterstützung von TLS 1.2 ist für Windows 7-Nutzer ein Update auf Windows 10, für Exchange und Windows Server (SBS z.B.) ein Update auf die aktuelle von Microsoft unterstützte Version. Wollen Sie dieses Update nicht durchführen, lesen Sie bitte weiter.

Sie benötigen mindestens eine Windows 7 Version mit installiertem Service Pack 1 (SP1). Ist Ihr System bisher nicht auf diesem Stand, finden Sie bei Microsoft eine offizielle Anleitung. Besitzen Sie eine noch ältere Windows-Version und möchten kein Update auf Windows 10 durchführen, lesen Sie bitte im Abschnitt "Alternativlösung für ältere Windows- und Mac-Nutzer via Software" weiter. Beachten Sie bitte, dass Microsoft selbst auch den Support für Windows 7 am 14.01.2020 einstellt, so dass ein Upgrade auf Windows 10 in diesem Jahr erfolgen sollte. Kostenfrei ist dies mithilfe des Windows Update-Assistenten möglich, der unter https://bit.ly/2SAcbXL heruntergeladen werden kann.

Nutzer von Exchange oder Microsoft Server, müssen alle über "Windows Update" erhältlichen Updates einspielen (vgl. https://support.microsoft.com/de-de/help/4019276/update-to-add-support-for-tls-1-1-and-tls-1-2-in-windows ).

Sobald Ihr System (Windows, Exchange, Server) aktualisiert ist, muss ein offizieller von Microsoft bereitgestellter Patch installiert werden.  Sie finden diesen direkt unter https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in#easy (Easy Fix).

Nutzer von Exchange 2010 müssen zudem einen Patch einspielen, der unter https://support.microsoft.com/de-de/help/3029667/smtp-is-not-transported-over-tls-1-1-or-tls-1-2-protocol-in-an-exchang heruntergeladen werden kann. Damit funktioniert später auch der Versand von E-Mails (SMTP).

 

Anschließendes Update via Software für Windows/Exchange/Microsoft-Server-Nutzer (empfohlen):

Die Deaktivierung von TLS 1.0 und Aktivierung von TLS 1.2 können Sie nach Einspielen des Service Packs 1 (SP1) sowie der Update-Dateien von Microsoft (siehe vorheriger Abschnitt) je nach eingesetztem System mittels einer kostenfrei erhältlichen Software vornehmen. Sie finden sie unter https://www.nartac.com/Products/IISCrypto . Wählen Sie dort unter "Download" die Version "IIS Crypto GUI" aus und führen sie nach dem Download aus. Entfernen Sie dort nun unter "Protocols" alle Haken, so dass nur noch TLS 1.2 verwendet wird. Der Haken muss schwarz sein – nicht grau! Die übrigen Spalten (Ciphers, Hashes, Key Exchanges) verändern Sie nicht. Drücken Sie anschließend unten rechts auf "Apply" und starten anschließend Ihren Rechner neu.

 

Alternativ: Manuelles Update ohne Software

Wollen Sie eine manuelle Anpasung vornehmen, müssen Sie  Einträge in der Windows Registry ändern. Auch hier sind zuvor Windows SP1 sowie Easy Fix (siehe oben) Voraussetzung.

  • Klicken Sie dazu auf Start > Suchen
  • Geben Sie nun "Regedit" ein und drücken auf die Enter-Taste
  • Wechseln Sie im öffnenden Fenster zum Eintrag:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
  • Fügen Sie (falls nicht bereits vorhanden) als neue Schlüssel "TLS 1.1" & "TLS 1.2" per Rechtsklick hinzu.
  • Fügen Sie den nun erstellten Schlüsseln TLS 1.1 und TLS 1.2 jeweils einen neuen Schlüssel namens "Client" per Rechtsklick hinzu.
  • Zu jedem "Client"-Schlüssel fügen Sie nun einen DWORD-Wert per Rechtsklick mit dem Namen DisabledByDefault hinzu. Als Wert nutzen Sie "00000000".
  • Starten Sie anschließend Ihren Rechner neu, damit die aktuelle TLS-Version genutzt wird.

 

 

Apple / Mac

 

Die einfachste Lösung stellt ein Update Ihres macOS-Betriebssystem dar. Für einen problemlosen Betrieb benötigen Sie mindestens macOS 10.12 (Sierra). Ob Ihr System Sierra unterstützt, erfahren Sie unter https://support.apple.com/de-de/HT208202 .

Nutzen Sie einen älteren Mac, benötigen Sie als Betriebssystem mindestens mac OSX El Capitan 10.11.6. In diesem Fall kann z.B. als E-Mail-Programm "Mozila Thunderbird" verwendet werden, nicht jedoch Apple Mail. Lesen Sie bitte hierzu unten im folgenden Abschnitt "TLS-Update via homebrew" oder "Alternativlösung für ältere Windows- und Mac-Nutzer via Software" weiter.

Nutzen Sie gleichzeitig Apple Mail, ist standardmäßig mindestens macOS Sierra 10.12 notwendig. Ältere Versionen unterstützen standardmäßig nur die unsichere TLS-Version. Sollten Sie nicht auf macOS Sierra wechseln können, lesen Sie bitte im Abschnitt "Alternativlösung für ältere Windows- und Mac-Nutzer via Software" weiter.

 

TLS-Update via homebrew

Eine weitere Möglichkeit für Mac OS-Nutzer ist es per Homebrew oder MacPorts, die OpenSSL-Version selbst zu aktualisieren. 

Beispiel für die Aktualisierung mittels Homebrew:

Öffnen Sie ein Terminal-Fenster (z.B. via Spotlight "Terminal eingeben") und geben Folgendes ein:

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Drücken Sie jetzt auf Enter. Homebrew wird nun installiert.
Geben Sie anschließend Folgendes im Terminal ein:

brew update brew install openssl brew link --force openssl
openssl version -a

TLS 1.2 sollte nun unterstützt werden.

Haben Sie weiterhin Probleme, wird OpenSSL ggf. noch nicht verwendet. Unter https://medium.com/@katopz/how-to-upgrade-openssl-8d005554401 wird hierzu eine weitere Lösung vorgeschlagen. 

 

 

 iOS

 

Die einfachste Lösung stellt ein Update Ihres iOS-Betriebssystem dar.

Nutzen Sie ein älteres Gerät benötigen Sie mindestens iOS 9.3. In diesem Fall können Sie die App Libero Mail aus dem App Store nutzen, welche modernere Verschlüsselungsmethoden unterstützt.

 

 

Alternativlösung für ältere Windows- und Mac-Nutzer via Software

 

Eine weitere Möglichkeit für Windows- als auch Mac-Nutzer stellt die Nutzung der kostenlosen Software stunnel dar. Unter https://hilfe.udmedia.de/e-mail/e-mail-einstellungen/ich-nutze-eine-aeltere-software-und-kann-keine-verschluesselten-e-mail-verbindungen-via-pop3-imap-oder-smtp-aufbauen-wie-kann-ich-das-beheben/ finden Sie Informationen, wie Sie das Programm nutzen können, um sich sicher zu verbinden. 

Besitzer eines Macs im Zeitraum Anfang 2008 bis Mitte 2009 können auch ein Update auf macOSX Sierra (10.12.) über einen Patcher durchführen. Sie finden diesen unter http://dosdude1.com/sierrapatch.html .

 

Empfehlungen und kurzfristige Lösungen

 

Neben einer Aktualisierung der Betriebssysteme, empfehlen wir die Verwendung aktueller Programme zum Verbindungsaufbau, z.B. für die E-Mail-Kommunikation das kostenlos erhältliche Mozilla Thunderbird. Die Einrichtung ist innerhalb weniger Minuten erfolgt. Darüberhinaus steht Ihnen ebenso jederzeit unser Webmail unter https://webmail.udmedia.de zur Verfügung.