1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: BSI vergisst Zertifikatswechsel

Ist ja auch nur das BSI...

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Ist ja auch nur das BSI...

    Autor: xmaniac 26.09.18 - 18:10

    ...die können nur Tipps geben, die sie selbst nicht Umsetzen

  2. Jetzt funktioniert die Seite (kwt)

    Autor: Mr Miyagi 26.09.18 - 18:15

    kwt

  3. Re: Jetzt funktioniert die Seite (kwt)

    Autor: uschatko 26.09.18 - 19:41

    und trotzdem peinlich

  4. Re: Jetzt funktioniert die Seite (kwt)

    Autor: Dieselmeister 26.09.18 - 20:17

    Nein, peinlich sind nur Leute, die glauben, dass Ihnen solche Fehler nie passieren würden. Ein abgelaufenes Zertifikat... OMG die Welt geht unter. Wahrscheinlich hat keiner der "peinlich" Kommentatoren auch nur je regelmäßig auf deren Seite geschaut.

    Ich war noch nie da. Okay, bin jetzt auch eher kein Admin.

  5. Re: Jetzt funktioniert die Seite (kwt)

    Autor: Elchinator 26.09.18 - 21:16

    Das BSI entwirft Standards, die für viele Unternehmen in Deutschland verpflichtend sind. Standards, nach denen genau DAS nicht passieren darf. Deshalb ist das mehr als peinlich!

  6. Re: Ist ja auch nur das BSI...

    Autor: PHPGangsta 26.09.18 - 21:18

    Für eine bessere Argumentation, liefere doch direkt ein Beispiel mit:

    2014 müsste das gewesen sein: TLS 1.2 als Minimum verlangen bei allen Behörden.
    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf?__blob=publicationFile&v=4
    Je nach Art des Bestandssystems bis spätestens 2015, 2016 bzw. 2017 umzusetzen.

    Und siehe da: Das BSI unterstützt selbst auch 2018 noch TLS 1.0:
    https://www.ssllabs.com/ssltest/analyze.html?d=bsi.bund.de

  7. Re: Ist ja auch nur das BSI...

    Autor: pommesmatte 26.09.18 - 23:40

    PHPGangsta schrieb:
    --------------------------------------------------------------------------------
    > Für eine bessere Argumentation, liefere doch direkt ein Beispiel mit:
    >
    > 2014 müsste das gewesen sein: TLS 1.2 als Minimum verlangen bei allen
    > Behörden.
    > www.bsi.bund.de
    > Je nach Art des Bestandssystems bis spätestens 2015, 2016 bzw. 2017
    > umzusetzen.
    >
    > Und siehe da: Das BSI unterstützt selbst auch 2018 noch TLS 1.0:
    > www.ssllabs.com

    Und das ist auch korrekt und hat einen Grund, Zitat
    “Ein Sonderfall ist die vor allem für den Sektor „Bürger-Behörden-Kommunikation“ relevante
    Abwärtskompatibilität: In Anbetracht der vernachlässigbaren Vertraulichkeitserfordernisse
    für öffentliche Webseiten, kann hier auf TLS-1.2-Zwang verzichtet werden – daher spricht der
    Mindeststandard hier explizit von „anbieten“ und nicht von „anwenden“.“

  8. Re: Ist ja auch nur das BSI...

    Autor: PHPGangsta 27.09.18 - 00:29

    pommesmatte schrieb:
    --------------------------------------------------------------------------------
    > PHPGangsta schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Für eine bessere Argumentation, liefere doch direkt ein Beispiel mit:
    > >
    > > 2014 müsste das gewesen sein: TLS 1.2 als Minimum verlangen bei allen
    > > Behörden.
    > > www.bsi.bund.de
    > > Je nach Art des Bestandssystems bis spätestens 2015, 2016 bzw. 2017
    > > umzusetzen.
    > >
    > > Und siehe da: Das BSI unterstützt selbst auch 2018 noch TLS 1.0:
    > > www.ssllabs.com
    >
    > Und das ist auch korrekt und hat einen Grund, Zitat
    > “Ein Sonderfall ist die vor allem für den Sektor
    > „Bürger-Behörden-Kommunikation“ relevante
    > Abwärtskompatibilität: In Anbetracht der vernachlässigbaren
    > Vertraulichkeitserfordernisse
    > für öffentliche Webseiten, kann hier auf TLS-1.2-Zwang verzichtet werden
    > – daher spricht der
    > Mindeststandard hier explizit von „anbieten“ und nicht von
    > „anwenden“.“

    OK, guter Punkt. Das steht in einem anderen Dokument. Die Quelle deines Zitats scheint der "Migrationsleitfaden" zu sein, richtig?
    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Migrationsleitfaden_Mindeststandard_BSI_TLS_1_2_Version_1_2.pdf?__blob=publicationFile&v=4

    "In Anbetracht der vernachlässigbaren Vertraulichkeitserfordernisse" finde ich gut... Die Vertraulichkeit der Kommunikation zwischen Behörden und Bürger ist vernachlässigbar, so so...

    Tja, tolle Wurst. Mit der Argumentation läuft 2030 immer noch TLS 1.0, weil 1 Nutzer pro Tag noch den Firefox 3 nutzt...

    Ich habe kürzlich auf einer größeren Website (völlig normale Nutzer, keine IT-Nerds) nachgeschaut in den Logs, da kamen noch 0.2% via TLS 1.0 rein, der Rest via TLS 1.2...
    Wie gering muss die TLS 1.0 Nutzung fallen, damit man es abschalten darf, der erhöhten Sicherheit wegen (was ja der Grund des Papiers ist)? Auf 0.0% wird es nie fallen. Ist bei 0.1% die Grenze erreicht, ab der "Abwärtskompatibilität" nicht mehr als Ausrede gilt?

    Zitat nochmal aus dem "Mindeststandard" Dokument:

    "Ab normalem Schutzbedarf der Daten (analog IT-Grundschutz) und bei ihrer Übertragung in einem unsicheren Netz ist daher von den Bundesbehörden das Protokoll TLS 1.2 in Kombination mit Perfect Forward Secrecy als Mindeststandard nach § 8 Abs. 1 Satz 1 BSIG zu verwenden."

    Ich finde, die Kommunikation mit dem Bürger ist _mindestens_ als "normaler Schutzbedarf" zu bewerten.

    Zahlungsanbieter schaffen es übrigens, TLS 1.0 darf seit Juni 2018 nicht mehr genutzt werden bei Kreditkarten, Paypal etc.. Siehe:
    https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls
    https://www.paypal.com/au/webapps/mpp/tls-http-upgrade
    https://www.ssllabs.com/ssltest/analyze.html?d=paypal.com&s=64.4.250.32

    Wäre doch toll, wenn Behörden, mit denen man unter Umständen höchst persönliche Dokumente austauscht und kommuniziert, auch mal voran gehen würden. Ein paar Wochen Warnungen schalten auf der Website falls noch via TLS 1.0 zugegriffen wird, dazu Pressearbeit, und dann nach X Monaten TLS 1.0 abschalten, fertig. Wer noch mit Windows XP rumsurft im Internet, bekommt halt eine TLS-Fehlermeldung im Browsers. Da hab ich relativ wenig Mitleid. TLS 1.2 ist 10 Jahre alt, da war genug Zeit für alle, sich einen Browser zu besorgen, der es beherrscht (was ja auch ca. 99.8% der Leute geschafft haben...).

  9. Re: Jetzt funktioniert die Seite (kwt)

    Autor: Kusie 27.09.18 - 14:24

    +1

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Dynamit Nobel Defence GmbH, Leipzig
  2. ABS Team GmbH, Bovenden
  3. RENA Technologies GmbH, Gütenbach
  4. Sanner GmbH, Bensheim bei Darmstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,39€
  2. 8,75€
  3. 34,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme