Am 1.10.2023 möchten wir bei goneo veralte Versionen des Verschlüsselungsprotokoll entfernen, vor allem aus Sicherheitsgründen. Versionen, die eine Releasenummer kleiner als TLS 1.2 haben, werden von den E-Mail-Servern nicht mehr unterstützt.
TLS 1.0 wurde 1999 eingeführt, weist also ein eher biblisches Alter auf. Die Version 1.1 kam 2006. Inzwischen sind also Jahrzehnte vergangen. Zeit für ein Update.
Was das bedeutet, liest du hier (Spoiler: Höchstwahrscheinlich betrifft es dich nicht).
Was ist TLS?
Für die Verschlüsselung der Netzwerkverbindung zwischen E-Mail-Anwendungen (Clients) und den Mailservern von goneo kommt das Verschlüsselungsprotokoll Transport Layer Security (TLS) zum Einsatz. Für TLS erschienen im Laufe der Zeit regelmäßig neue, verbesserte Versionen. Die zur Zeit mistgenutzte Version ist TLS 1.2.
Warum werden TLS 1.0 und TLS 1.1 deaktiviert?
Die Versionen TLS 1.0 und 1.1 gelten inzwischen als veraltet und unsicher. Zwar konnten diese bei goneo noch verwendet werden. Allerdings endet diese Möglichkeit am 1.10.2023. Danach werden nur noch neuere TLS-Versionen nutzbar sein.
Wie wirkt sich dies auf die E-Mail-Kommunikation bei goneo aus?
Möglicherweise kann nach der Deaktivierung von TLS 1.0 und 1.1 sehr alte Software auf PCs, Notebooks oder Mobiltelefonen keine Mails mehr über goneo senden und empfangen.
Was ist zu tun?
Die meisten E-Mail-Nutzerinnen und Nutzer wird dies nicht betreffen. Nach den uns vorliegenden Daten nutzt nur noch ein kleiner Bruchteil eine Verschlüsselungsvariante von TLS mit einer Version, die kleiner ist als 1.2.
Aktuelle Software – dies gilt auch für Betriebssysteme – verwenden Verschlüsselungsvarianten wie TLS 1.2.
Im Zweifelsfall empfehlen wir ein Update bzw. Upgrade auf eine aktuelle Version der jeweiligen E-Mail-Software. Man sollte einfach die aktuelle Version der jeweiligen Software verwenden.
Woher weiß ich, welche TLS-Version meine E-Mail-Anwendung nutzt?
Als Nutzer bzw. Nutzerin von E-Mail hat man leider in der Regel mit den verschiedenen Anwendungen kaum eine Möglichkeit einzusehen oder einzustellen, welche Variante einer Datenverschlüsselung konkret verwendet wird.
Es gibt schließlich sehr viele Variationen aus Protokoll, Algos und Schlüsseln bei diesen Verfahren. Die Anwendungen (E-Mail-Programme) und die Mailserver handeln die Verschlüsselung automatisch aus, während des Handshakes wenn man Mails empfängt und sendet.
Die Header-Daten (Kopfdaten) einer empfangenen E-Mail können unter Umständen Aufschluss über die genutzte Verschlüsselungsvariante geben, was aber recht umständlich und mühsam nachzuverfolgen ist. Meist ist der absendende Server vermerkt und dazu die sogenannte Cipher-Angabe. Hier findet man beispielsweise Zeilen wie
version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Aus dieser Angabe lässt sich erkennen, dass hier TLS 1.2 genutzt wurde. Leider gibt es eine gewisse Vielfalt wie die Header-Daten einer E-Mail aufgebaut sind und je nach Mailsystem werden die Angaben anders dargestellt.
Bei E-Mails, die man selbst gesendet hat, wird dies in den Header-Daten nicht protokolliert. Es gibt aber Tools, die die TLS-Version erkennen können.
Kein Opportunismus bei Sicherheit und Vertraulichkeit
Übrigens ist bei goneo keine „opportunistische Verschlüsselung“ möglich. Das bedeutet de facto, dass für den E-Mail-Transport eine Verschlüsselung erzwungen wird.
Es gibt durchaus viele, auch prominente Mailanbieter, die beim Scheitern der Aushandlung einer Verschlüsselung die Mails unverschlüsselt senden. Verschlüsselt wird demnach nur, wenn es möglich ist, also, wenn es „opportun“ ist. Damit lassen sich dann Mail auf der Transportstrecke mitlesen, wenn jemand genug kriminelle Energie aufbringt. Technisch besonders anspruchsvoll ist dies dann nicht.
Würde also eine Anwendung beispielsweise nur TLS 1.0 verwenden können, kommt bei der Aushandlung zwischen Anwendung und goneo-Mailserver keine funktionierende Verbindung zustande.
Immer wieder begegnet uns Embedded Software in unterschiedlichster Hardware, die nur alte Kommunikationsprotokolle unterstützt. Oft kann man auch diese Hardware softwaremäßig updaten. Dabei denken wir an „halbsmarte“ Geräte, die man vielleicht dem Bereich Edge Computing zuordnen könnte: Ältere Überwachungskameras, die per Mail Alarm geben können, Haushaltsgeräte, die Service vom Benutzer anfordern und ähnliches.
Mehr Info
Hier findest du weitere Informationen zur der Änderung am 1.10.2023:
https://www.goneo.de/hilfe/email/tls11_abschaltung
Zum Hintergrund: SSL (Secure Socket Layer) ist eine eigentlich veraltete Bezeichnung für Transport Layer Security (TLS).
https://www.goneo.de/glossar/ssl.html
Fazit
Be goneo bemühen wir uns um aktuelle Softwareversionen und setzen diese ein, wenn sie sich im Markt und im Umfeld bewährt haben. Umgekehrt ist es nötig, veraltete Software zu entfernen. Nun ist die Verschlüsselung mit TLS 1.0 und 1.1 betroffen. Doch nur recht alte Software verwendet diese Releases. Damit erhebt sich die Frage – unabhängig von der Funktionalität – ob man derartig alte Software, die aus jedem Supportzyklus herausgefallen ist, noch einsetzen sollte.
