TLSv1 abschalten

[Markus Winkler]

On 30.10.21 14:42, Markus Schönhaber wrote:
> 30.10.21, 10:35 +0200, Markus Winkler:
> 
>> Ich persönlich tendiere jedenfalls schon dazu, dass man den Betreibern der
>> Empfängerserver mittlerweile die Freiheit geben sollte, eben auch nur
>> verschlüsselte Übertragungswege akzeptieren zu wollen.
> 
> Jeder kann natürlich (schon immer) seinen Server so konfigurieren, wie sie 
> es für richtig hält. Wer keine unverschlüsselt eingelieferte Mail mehr 
> annehmen will, soll das eben lassen.

Logisch - aber darum ging es in meinem Satz oben ja gar nicht, sondern 
lediglich darum, dass man mit der Ablehnung unverschlüsselter Mails den 
nach wie vor gültigen RFC verletzt. Und bzgl. dieses Punkts könnte man ja 
mal darüber nachdenken, den Betreibern von Mailservern zukünftig evtl. 
diese Entscheidungsfreiheit rein formal einzuräumen, ohne dass diese dann 
gleich als RFC-ignorant dastehen.

> Ich bleibe allerdings dabei: Ich sehe keinen Sicherheitsgewinn darin, TLSv1 
> abzuschalten.

[...]

> [1]: https://marc.info/?l=postfix-users&m=163557349520026&w=2
> 
> Natürlich ändert das nichts an "Dein Server - Deine Regeln". Aber jemand, 
> der sich fragt, ob er gewisse Postfix-Defaults ändern oder 
> Verschlüsselungsprotokolle abschalten soll, ist m. E. verdammt gut beraten, 
> Viktors Meinung nicht zu ignorieren, sondern zumindest in Betracht zu ziehen.

Vielen Dank für den Link zur englischen Liste. Es ist immer gut, sich mit 
anderen Meinungen auseinanderzusetzen. ;-) Meine eigene habe ich ja schon 
dargelegt, u. a. zum aus dem RFC 8996 abgeleiteten Gewinn an Sicherheit, 
wenn solche überholten Protokolle nicht mehr eingesetzt und damit auch 
nicht mehr als Angriffsvektor genutzt werden können. Hier haben wir beide 
eben eine andere Sicht auf das Thema.

Viktors Meinung nehme ich ebenso zur Kenntnis, teile sie in der Form jedoch 
nicht und finde auch seine Wortwahl etwas, naja, eigenartig.

Und im Unterschied zur englischen Postfix-Liste ging es ja in diesem Thread 
hier ursprünglich gerade _nicht_ um irgendwelche Maximalforderungen à la 
"ab sofort soll nur noch TLSv1.3 verwendet werden". Der Ausgangspunkt der 
Diskussion war, das Andis Server noch TLSv1 unterstützt und ich aus meiner 
Sicht eben dessen Deaktivieren vorgeschlagen hatte (noch nicht mal von 
TLSv1.1 ;-)).

Dass man nicht mal eben einen der ältesten Dienste des Internets technisch 
umkrempeln kann, liegt selbstverständlich auf der Hand. Aber selbst solche 
hornalten Systeme wie beispielsweise Exchange 2010 / W2K8R2 lassen sich 
problemlos TLSv1.2 beibringen. Vor diesem Hintergrund kann ich daher, 
ehrlich gesagt, nicht ganz nachvollziehen, wieso 2021 noch darüber 
diskutiert wird, ob TLSv1 weiterhin akzeptabel ist, oder nicht. Warum nicht 
einfach endlich die Sicherheit nutzen, die schon _seit Jahren_ verfügbar 
ist? Es gibt nun mal Anwender, die aus eigenem Sicherheitsinteresse oder 
weil sie von irgendwelchen Vorgaben her (z. B. sich an BSI-Richtlinien wie 
die TR-02102-2 halten müssen) gezwungen sind, nach heutigem Stand sichere 
und noch dazu technisch einfach anzuwendende Technologien einsetzen wollen 
und/oder müssen.

Aber klar: Das kann, soll und wird natürlich jeder sehen, wie er mag und 
ggf. auch muss. ;-)

Viele Grüße
Markus