Ankündigung

Einklappen
Keine Ankündigung bisher.

Aktualisierung von TLS auf den von Ihnen genutzten Webservern ab dem 18.05.2020

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Aktualisierung von TLS auf den von Ihnen genutzten Webservern ab dem 18.05.2020

    Sehr geehrte Kundinnen und Kunden,

    wie bereits angekündigt, haben wir die TLS-Version in einigen unserer Systemteile zwischenzeitlich angepasst.

    Ab dem 18. Mai 2020 werden die von Ihnen genutzten Webserver die Version TLS 1.0/1.1 nicht weiter unterstützen. Automatisch wird dafür die bereits aktivierte Version TLS 1.2 genutzt. Dies ist ein weiterer wichtiger Schritt zur Verbesserung der Sicherheit Ihrer durch SSL-Zertifikate abgesicherten Webseiten.

    Was ist eigentlich TLS?

    Es steht für Transport Layer Security und ist die Weiterentwicklung von SSL. Im Internet übertragene Daten werden über dieses Protokoll verschlüsselt, um nicht auf dem Transportweg mitgelesen werden zu können.

    Was bedeutet das für Sie?

    Bitte überprüfen Sie die von Ihnen genutzten Browser auf Kompatibilität mit mindestens TLS 1.2. Generell empfehlen wir als Basis die Betriebssysteme Windows 8.1, Windows 10 oder MAC OS X in mindestens Version 10.9 zu nutzen. Bei Nutzung von Linux empfehlen wir Ihnen ebenfalls die Kompatibilität zu prüfen. Bitte prüfen Sie auch ältere Mobiltelefone und Tablets. Schon jetzt nutzt unser Webmail nur TLS 1.2 und kann für Überprüfungen von Browsern genutzt werden unter https://www.webmail.df.eu.

    Wenn Sie einen Zahlungsdienstleister auf Ihrer Webseite eingebunden haben, empfehlen wir Ihnen eine Überprüfung der eingesetzten Sicherheitsprotokolle.

    Wir empfehlen Resellern und Webseitenbetreibern ihre Kunden und Nutzer über die anstehenden Änderungen zu informieren.

    Was passiert, wenn Sie nicht aktualisieren?

    Es kann nach der Umstellung zu Schwierigkeiten mit älterer Software kommen. Bei Browsern ohne entsprechende Unterstützung kommt es zu Fehlern beim Aufruf von HTTPS-Seiten. Ihre Webseiten sind dann ggf. nicht mehr erreichbar für Nutzer, die ältere Browserversionen verwenden.

    Ergänzende Informationen finden Sie in im Beitrag unterhalb.

    Bitte beachten Sie, dass es während der Umstellung unserer Systeme ab dem 18. Mai 2020 auf Ihren Webseiten zu einer kurzen Unterbrechung, im Regelfall im Bereich einiger Sekunden, kommen kann. Um die dadurch für Sie entstehenden Unannehmlichkeiten so gering wie möglich zu halten, werden wir die Umstellung in den frühen Morgenstunden durchführen. Den aktuellen Status finden Sie hier.

    Bei Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.

    Freundliche Grüße

    Nils Dornblut
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

    #2
    FAQ

    Was ist TLS?

    TLS steht für Transport Layer Security, also Transportschichtsicherheit und ist die Fortentwicklung von SSL (Secure Sockets Layer). Die im Internet übertragenen Daten werden über dieses Protokoll verschlüsselt, damit sie nicht auf dem Transportweg mitgelesen werden können. Wenn Webseiten über https:// aufgerufen werden, dann wird heute TLS für die Verschlüsselung genutzt. Hier kann nur der berechtigte Webbrowser des Empfängers die Daten lesen. TLS wird ebenfalls für E-Mail-Übertragung und Dateitransfer zum Webserver mit SFTP eingesetzt.

    Warum müssen Anpassungen an TLS erfolgen?

    Um die Sicherheit für Sie und Ihre Benutzer zu erhöhen, rüsten wir bereits alle durch DomainFactory betriebenen Systeme um und schalten die bestehenden Versionen ab.

    In welchen Stufen nimmt die DomainFactory Änderungen bei TLS vor?

    Um Auswirkungen dediziert beobachten zu können und jeweils möglichst minimal zu halten, nimmt die DomainFactory Änderungen von TLS in Stufen getrennt nach Systemen bzw. Bereichen vor. Nachfolgend eine Übersicht:
    • Seit dem 06.04.2020 wurden die Bereiche Kundenmenü, Webmail, unsere Website www.df.eu, der SSL Proxy und einige weitere Systeme angepasst, was Sie hier nachlesen können.
    • Ab dem 18.05.2020 werden wir die Kundensysteme, also die Webserver anpassen.
    • Mitte Juni 2020 folgt dann die Anpassung der E-Mail-Server, worüber wir rechtzeitig, gesondert informieren werden.
    • Abschließend planen wir im Juli 2020 die FTP-Server auf allen Systemen anzupassen. Auch darüber werden wir Sie noch einmal vorab informieren.

    Was sollte vor der Umstellung geprüft werden und wo ist mit Problemen durch die Umstellung zu rechnen?

    Es kann Schwierigkeiten mit älterer Software geben. Bei Browsern ohne entsprechende Unterstützung kann es zu Fehlern beim Aufruf von per https:// gesicherten Seiten kommen.

    Sie sollten alle Ihre Systeme vorab auf Kompatibilität mit mindestens TLS 1.2 prüfen. Eine schnelle Zugriffsprüfung ist über unser Webmail unter https://webmail.df.eu möglich, da es schon jetzt nur TLS 1.2 unterstützt.

    Generell empfehlen wir als Basis die Betriebssysteme Windows 8.1, Windows 10 oder MAC OS X in mindestens Version 10.9 zu nutzen. Bei Nutzung von Linux empfehlen wir Ihnen ebenfalls die Kompatibilität zu prüfen. Bitte prüfen Sie auch ältere Mobiltelefone und Tablets.

    Speziell die nachfolgenden Versionen von Browsern in Kombination mit den genannten Betriebssystemen sollten Sie nicht mehr einsetzen, da sie nicht mehr mit TLS 1.2 oder höher kompatibel sind:
    • Android in Versionen kleiner oder gleich 4.3
    • Internet Explorer in Version 8 oder früher unter Windows XP
    • Internet Explorer in Version 7 oder früher unter Windows Vista
    • Internet Explorer in Version 8 oder früher unter Windows 7
    • Internet Explorer in Version 10 oder früher bei Einsatz mit dem mobilen Betriebssystem Windows Phone/Mobile 8.0
    • Safari 5.1.9 unter OS X 10.6.8 oder Safari 6.0.4 unter OS X 10.8.4 oder früher
    • Java 6u45 bzw. Java 7u25 oder früher
    • OpenSSL 0.9.8y oder früher
    • Baidu in Versionen vor 2015
    Insbesondere empfehlen wir Kunden, die Zahlungsdienstleister angebunden haben, eine Überprüfung der eingesetzten Sicherheitsprotokolle. Diese bedürfen in einigen Fällen Anpassungen, um TLS 1.2 zu unterstützen.

    Was sollten Reseller und Webseitenbetreiber vorab tun?

    Bitte informieren Sie Ihre Kunden und Nutzer über die anstehenden Änderungen. Hierfür können Sie natürlich gerne unsere Informationen nutzen und weitergeben. Falls Sie Zahlungsdienstleister angebunden haben, sollten Sie die eingesetzten Sicherheitsprotokolle überprüfen. Diese bedürfen in einigen Fällen Anpassungen, um TLS 1.2 zu unterstützen.

    Wie sind die Auswirkungen, wenn die Umstellung vollzogen wird?

    Es kann zu kurzen Ausfallzeiten im Regelfall von nur einigen Sekunden bis maximal einigen Minuten kommen, wenn wir die betroffenen Dienste neu starten. Selbstverständlich erfolgen die Anpassungen in den frühen Morgenstunden und verteilt über einen längeren Zeitraum, um Auswirkungen bestmöglich zu überwachen und auch Rückmeldungen berücksichtigen zu können.

    Wo sind weitere Informationen zur Unterstützung jeweiliger Versionen von TLS zu finden?

    Sie finden hier eine Liste welche die Kompatibilität von den verschiedenen TLS nach unterschiedlichen Bereichen zeigt:Ist es möglich die jeweils unterstützten TLS Versionen einer Webseite zu prüfen?

    Eine Prüfung mit vielen Details ist hier möglich: https://www.ssllabs.com/ssltest/

    Wie sieht es generell mit Browsern und der Abkündigung von älteren TLS-Versionen aus?

    Neue Versionen von Browsern unterstützen neuere TLS Versionen und Abschaltungen schalten die Unterstützung von älteren TLS-Versionen zeitnah ab. Hier ein paar Beispiele:
    • Ab Chrome Version 29.0 vom 20.08.2013 wird TLS 1.2 unterstützt
    • Ab Chrome Version 70.0 vom 16.010.2018 wird TLS 1.3 standardmäßig aktiviert
    • Ab Chrome Version 81.0 soll TLS 1.0 und TLS 1.1 endgültig deaktiviert werden, man hat diesen Plan aber aufgrund der Coronakrise aktuell nach hinten verschoben. Die Deaktivierung ist nun für die Version 83 geplant
    • TLS 1.0/1.1 in Edge und im Internet Explorer 11 sollten bis zum Ablauf des 2. Quartals abgeschaltet werden, was aufgrund der Coronakrise verschoben wurde
    • Im Edge-Browser startete die Unterstützung von TLS 1.3 mit der Version 76, TLS 1.2 wird schon in früheren Versionen auch im Internet Explorer unterstützt
    • Im Edge-Browser auf Chromium-Basis und Edge 84 soll eine Abschaltung nun im Juli 2020 erfolgen
    • Beim Internet Explorer 11 und Edge Legacywird vom Hersteller Microsoft der 8. September 2020 für die Deaktivierung von TLS 1.0/1.1 nun genannt.
    • Ab Firefox 27 aus dem Februar 2014 wird TLS 1.2 unterstützt
    • Ab Firefox 63 aus dem Oktober 2018 wird TLS 1.3 unterstützt
    • Bei Mozilla, dem Hersteller des Firefox, wurde die Abschaltung ebenfalls wegen der Corona-Infoseiten, die nur via TLS 1.0/1.1 erreichbar waren, verschoben bzw. reaktiviert. Im Firefox 74, welcher im März veröffentlicht wurde, war bereits die Abschaltung avisiert worden und man hat sie dann zurückgenommen. Einen neuen Termin für die Abschaltung gibt es dort noch nicht.

    Warum wird nicht überall direkt auch TLS 1.3 aktiviert?

    Leider ist es nicht möglich, direkt auf allen Servern TLS 1.3 zu aktivieren. Technische Hindernisse blockieren leider in unserer bisherigen Webserver-Plattform eine Aktivierung. Mit der neuen 64-Bit-Plattform wird TLS 1.3 direkt mit verfügbar sein.
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

    Kommentar


      #3
      Guten Abend,
      werden in diesem Zuge auch endlich die unsicheren und schwachen Cipher Suites für TLS 1.2 deaktiviert?


      Viele Grüße

      Kommentar


        #4
        Guten Morgen Schakal,

        Zitat von Schakal Beitrag anzeigen
        Guten Abend,
        werden in diesem Zuge auch endlich die unsicheren und schwachen Cipher Suites für TLS 1.2 deaktiviert?
        Es bestehen dazu entsprechend Planungen, welche jedoch bei dieser Abschaltung, um die Komplexität zu minimieren, noch nicht umgesetzt werden.

        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #5
          Guten Morgen,
          danke für die Rückmeldung.

          Es bestehen dazu entsprechend Planungen, welche jedoch bei dieser Abschaltung, um die Komplexität zu minimieren, noch nicht umgesetzt werden.
          Ihr macht aus mir einen alten Mann...

          Viele Grüße

          Kommentar


            #6
            Zitat von Schakal Beitrag anzeigen
            Ihr macht aus mir einen alten Mann...
            Das macht das Leben automatisch

            So dramatisch sind die noch aktivierte Chiper aber auch nicht. Da gibt es weitaus schlechtere und die guten werden automatisch bevorzugt genutzt. Klar, das lässt auch Angriffsvektoren, aber minimiert es etwas. Wie schon gesagt, wir sind auch da dran

            Mit freundlichen Grüßen

            Nils Dornblut

            Blog - Facebook - Twitter
            Communitybetreiber: domainfactory GmbH
            Impressum / Pflichtangaben

            Kommentar


              #7
              Gerade getestet: laut ssllab.com: This server supports TLS 1.0 and TLS 1.1. Grade capped to B

              Kommentar


                #8
                Bei mir steigen gerade reihenweise die Mail Accounts aus und verlangen erneut ein Passwort. gebe ich das richtige (im KM geprüft) ein, kann dennoch der Account nicht verbunden werden. Kann das an der Umstellung liegen? Ich verwendet Mac OS X 10.14, also neu genug laut Statusmeldung.
                Es grüßt freundlich
                Ihr Benutzername

                Kommentar


                  #9
                  Gerade getestet: laut ssllab.com: This server supports TLS 1.0 and TLS 1.1. Grade capped to B
                  Es kann gut sein, dass du bzw. dein Server erst in den nächsten Tagen dran bist. Es heißt "ab" und nicht "am" im Betreff.

                  Kommentar


                    #10
                    Zitat von Benutzername Beitrag anzeigen
                    Bei mir steigen gerade reihenweise die Mail Accounts aus und verlangen erneut ein Passwort. gebe ich das richtige (im KM geprüft) ein, kann dennoch der Account nicht verbunden werden. Kann das an der Umstellung liegen? Ich verwendet Mac OS X 10.14, also neu genug laut Statusmeldung.
                    Das ist/war ein davon unabhängiges Problem mit einem Teil der Mailcluster

                    Kommentar


                      #11
                      Zitat von [headcrash] Beitrag anzeigen

                      Das ist/war ein davon unabhängiges Problem mit einem Teil der Mailcluster
                      OK, danke! Ich hatte auf status.df.eu nichts dazu gesehen und daher gedacht, es läge an der aktuellen Umstellung. Aber nun geht auch Mail bei mir wieder und - oh wunder - mit deutlich weniger Spamnachrichten...

                      Es grüßt freundlich
                      Ihr Benutzername

                      Kommentar


                        #12
                        Ich habe auch seit heute Mittag das Problem das einige Mailaccounts nicht mehr gehen, sowohl POP3 als auch IMAP.

                        Was ist da los?
                        Habe alles aus SSL, Outlook 365 unter Win10 und Outlook App unter Android 10.

                        Kommentar


                          #13
                          Dieses Problem taucht leider sporadisch bei DF immer wieder auf. Vermutlich zickt einer der Server aus dem Mailsystem rum. Keine Ahnung warum man das nicht in den Griff bekommt, das scheint eine weitere DF-Baustelle zu sein...

                          Habt ihr dieses Problem dauerhaft oder ist es nach einer Weile wieder weg?
                          Markus
                          ---
                          https://www.facebook.com/markus.weber.180410

                          Kommentar


                            #14
                            Wir haben seit gestern Nachmittag auch E-Mail Probleme und zwar kann unser Shopware-Shop keine E-Mails mehr versenden.

                            Als Fehlermeldung kommt:
                            {
                            "exception": "[object] (Zend_Mail_Protocol_Exception(code: 0): Could not read from sslout.de at /engine/Library/Zend/Mail/Protocol/Abstract.php:375)"
                            }

                            Statt sslout.de haben wir auch schon sslout.df.eu getestet, aber gleiches Problem.

                            Im Shopware-Forum gibt es auch einen Thread von anderen Shopbetreibern, die seit gestern Probleme mit dem E-Mail-Versand haben: https://forum.shopware.com/discussio...-not-read-from

                            Kommentar


                              #15
                              Zitat von Ryback Beitrag anzeigen
                              Wir haben seit gestern Nachmittag auch E-Mail Probleme und zwar kann unser Shopware-Shop keine E-Mails mehr versenden.

                              Als Fehlermeldung kommt:
                              {
                              "exception": "[object] (Zend_Mail_Protocol_Exception(code: 0): Could not read from sslout.de at /engine/Library/Zend/Mail/Protocol/Abstract.php:375)"
                              }

                              Statt sslout.de haben wir auch schon sslout.df.eu getestet, aber gleiches Problem.

                              Im Shopware-Forum gibt es auch einen Thread von anderen Shopbetreibern, die seit gestern Probleme mit dem E-Mail-Versand haben: https://forum.shopware.com/discussio...-not-read-from
                              Das betrifft nicht nur Shopware, ich hab regelmässig Kunden in der Leitung die Probleme beim Versand über sslout.de haben. Laut DF liegen da aber keine Probleme vor, sprich wir sind irgendwie alle zu doof :-)
                              Markus
                              ---
                              https://www.facebook.com/markus.weber.180410

                              Kommentar

                              Lädt...
                              X