FAQ

Was ist TLS?

TLS steht für Transport Layer Security, also Transportschichtsicherheit und ist die Fortentwicklung von SSL (Secure Sockets Layer). Die im Internet übertragenen Daten werden über dieses Protokoll verschlüsselt, damit sie nicht auf dem Transportweg mitgelesen werden können. Wenn Webseiten über https:// aufgerufen werden, dann wird heute TLS für die Verschlüsselung genutzt. Hier kann nur der berechtigte Webbrowser des Empfängers die Daten lesen. TLS wird ebenfalls für E-Mail-Übertragung und Dateitransfer zum Webserver mit SFTP eingesetzt.

Warum müssen Anpassungen an TLS erfolgen?

Um die Sicherheit für Sie und Ihre Benutzer zu erhöhen, rüsten wir bereits alle durch DomainFactory betriebenen Systeme um und schalten die bestehenden Versionen ab.

In welchen Stufen nimmt die DomainFactory Änderungen bei TLS vor?

Um Auswirkungen dediziert beobachten zu können und jeweils möglichst minimal zu halten, nimmt die DomainFactory Änderungen von TLS in Stufen getrennt nach Systemen bzw. Bereichen vor. Nachfolgend eine Übersicht:

• Seit dem 06.04.2020 wurden die Bereiche Kundenmenü, Webmail, unsere Website www.df.eu, der SSL Proxy und einige weitere Systeme angepasst, was Sie hier nachlesen können.
• Ab dem 18.05.2020 werden wir die Kundensysteme, also die Webserver anpassen.
• Mitte Juni 2020 folgt dann die Anpassung der E-Mail-Server, worüber wir rechtzeitig, gesondert informieren werden.
• Abschließend planen wir im Juli 2020 die FTP-Server auf allen Systemen anzupassen. Auch darüber werden wir Sie noch einmal vorab informieren.

Was sollte vor der Umstellung geprüft werden und wo ist mit Problemen durch die Umstellung zu rechnen?

Es kann Schwierigkeiten mit älterer Software geben. Bei Browsern ohne entsprechende Unterstützung kann es zu Fehlern beim Aufruf von per https:// gesicherten Seiten kommen.

Sie sollten alle Ihre Systeme vorab auf Kompatibilität mit mindestens TLS 1.2 prüfen. Eine schnelle Zugriffsprüfung ist über unser Webmail unter https://webmail.df.eu möglich, da es schon jetzt nur TLS 1.2 unterstützt.

Generell empfehlen wir als Basis die Betriebssysteme Windows 8.1, Windows 10 oder MAC OS X in mindestens Version 10.9 zu nutzen. Bei Nutzung von Linux empfehlen wir Ihnen ebenfalls die Kompatibilität zu prüfen. Bitte prüfen Sie auch ältere Mobiltelefone und Tablets.

Speziell die nachfolgenden Versionen von Browsern in Kombination mit den genannten Betriebssystemen sollten Sie nicht mehr einsetzen, da sie nicht mehr mit TLS 1.2 oder höher kompatibel sind:

• Android in Versionen kleiner oder gleich 4.3
• Internet Explorer in Version 8 oder früher unter Windows XP
• Internet Explorer in Version 7 oder früher unter Windows Vista
• Internet Explorer in Version 8 oder früher unter Windows 7
• Internet Explorer in Version 10 oder früher bei Einsatz mit dem mobilen Betriebssystem Windows Phone/Mobile 8.0
• Safari 5.1.9 unter OS X 10.6.8 oder Safari 6.0.4 unter OS X 10.8.4 oder früher
• Java 6u45 bzw. Java 7u25 oder früher
• OpenSSL 0.9.8y oder früher
• Baidu in Versionen vor 2015

Insbesondere empfehlen wir Kunden, die Zahlungsdienstleister angebunden haben, eine Überprüfung der eingesetzten Sicherheitsprotokolle. Diese bedürfen in einigen Fällen Anpassungen, um TLS 1.2 zu unterstützen.

Was sollten Reseller und Webseitenbetreiber vorab tun?

Bitte informieren Sie Ihre Kunden und Nutzer über die anstehenden Änderungen. Hierfür können Sie natürlich gerne unsere Informationen nutzen und weitergeben. Falls Sie Zahlungsdienstleister angebunden haben, sollten Sie die eingesetzten Sicherheitsprotokolle überprüfen. Diese bedürfen in einigen Fällen Anpassungen, um TLS 1.2 zu unterstützen.

Wie sind die Auswirkungen, wenn die Umstellung vollzogen wird?

Es kann zu kurzen Ausfallzeiten im Regelfall von nur einigen Sekunden bis maximal einigen Minuten kommen, wenn wir die betroffenen Dienste neu starten. Selbstverständlich erfolgen die Anpassungen in den frühen Morgenstunden und verteilt über einen längeren Zeitraum, um Auswirkungen bestmöglich zu überwachen und auch Rückmeldungen berücksichtigen zu können.

Wo sind weitere Informationen zur Unterstützung jeweiliger Versionen von TLS zu finden?

Sie finden hier eine Liste welche die Kompatibilität von den verschiedenen TLS nach unterschiedlichen Bereichen zeigt:

• Internetbrowser
• Betriebssysteme
• Betriebssysteme für Mobilgeräte
• Betriebssysteme für Server
• Programmierbibliotheken

Ist es möglich die jeweils unterstützten TLS Versionen einer Webseite zu prüfen?

Eine Prüfung mit vielen Details ist hier möglich: https://www.ssllabs.com/ssltest/

Wie sieht es generell mit Browsern und der Abkündigung von älteren TLS-Versionen aus?

Neue Versionen von Browsern unterstützen neuere TLS Versionen und Abschaltungen schalten die Unterstützung von älteren TLS-Versionen zeitnah ab. Hier ein paar Beispiele:

• Ab Chrome Version 29.0 vom 20.08.2013 wird TLS 1.2 unterstützt
• Ab Chrome Version 70.0 vom 16.010.2018 wird TLS 1.3 standardmäßig aktiviert
• Ab Chrome Version 81.0 soll TLS 1.0 und TLS 1.1 endgültig deaktiviert werden, man hat diesen Plan aber aufgrund der Coronakrise aktuell nach hinten verschoben. Die Deaktivierung ist nun für die Version 83 geplant
• TLS 1.0/1.1 in Edge und im Internet Explorer 11 sollten bis zum Ablauf des 2. Quartals abgeschaltet werden, was aufgrund der Coronakrise verschoben wurde
• Im Edge-Browser startete die Unterstützung von TLS 1.3 mit der Version 76, TLS 1.2 wird schon in früheren Versionen auch im Internet Explorer unterstützt
• Im Edge-Browser auf Chromium-Basis und Edge 84 soll eine Abschaltung nun im Juli 2020 erfolgen
• Beim Internet Explorer 11 und Edge Legacywird vom Hersteller Microsoft der 8. September 2020 für die Deaktivierung von TLS 1.0/1.1 nun genannt.
• Ab Firefox 27 aus dem Februar 2014 wird TLS 1.2 unterstützt
• Ab Firefox 63 aus dem Oktober 2018 wird TLS 1.3 unterstützt
• Bei Mozilla, dem Hersteller des Firefox, wurde die Abschaltung ebenfalls wegen der Corona-Infoseiten, die nur via TLS 1.0/1.1 erreichbar waren, verschoben bzw. reaktiviert. Im Firefox 74, welcher im März veröffentlicht wurde, war bereits die Abschaltung avisiert worden und man hat sie dann zurückgenommen. Einen neuen Termin für die Abschaltung gibt es dort noch nicht.

Warum wird nicht überall direkt auch TLS 1.3 aktiviert?

Leider ist es nicht möglich, direkt auf allen Servern TLS 1.3 zu aktivieren. Technische Hindernisse blockieren leider in unserer bisherigen Webserver-Plattform eine Aktivierung. Mit der neuen 64-Bit-Plattform wird TLS 1.3 direkt mit verfügbar sein.

Guten Abend,
werden in diesem Zuge auch endlich die unsicheren und schwachen Cipher Suites für TLS 1.2 deaktiviert?


Viele Grüße

Guten Morgen Schakal,

Es bestehen dazu entsprechend Planungen, welche jedoch bei dieser Abschaltung, um die Komplexität zu minimieren, noch nicht umgesetzt werden.

Guten Morgen,
danke für die Rückmeldung.

Ihr macht aus mir einen alten Mann...

Viele Grüße

Das macht das Leben automatisch

So dramatisch sind die noch aktivierte Chiper aber auch nicht. Da gibt es weitaus schlechtere und die guten werden automatisch bevorzugt genutzt. Klar, das lässt auch Angriffsvektoren, aber minimiert es etwas. Wie schon gesagt, wir sind auch da dran

Mit freundlichen Grüßen

Nils Dornblut

Gerade getestet: laut ssllab.com: This server supports TLS 1.0 and TLS 1.1. Grade capped to B

Bei mir steigen gerade reihenweise die Mail Accounts aus und verlangen erneut ein Passwort. gebe ich das richtige (im KM geprüft) ein, kann dennoch der Account nicht verbunden werden. Kann das an der Umstellung liegen? Ich verwendet Mac OS X 10.14, also neu genug laut Statusmeldung.

Es kann gut sein, dass du bzw. dein Server erst in den nächsten Tagen dran bist. Es heißt "ab" und nicht "am" im Betreff.

Das ist/war ein davon unabhängiges Problem mit einem Teil der Mailcluster

OK, danke! Ich hatte auf status.df.eu nichts dazu gesehen und daher gedacht, es läge an der aktuellen Umstellung. Aber nun geht auch Mail bei mir wieder und - oh wunder - mit deutlich weniger Spamnachrichten...

Ich habe auch seit heute Mittag das Problem das einige Mailaccounts nicht mehr gehen, sowohl POP3 als auch IMAP.

Was ist da los?
Habe alles aus SSL, Outlook 365 unter Win10 und Outlook App unter Android 10.

Dieses Problem taucht leider sporadisch bei DF immer wieder auf. Vermutlich zickt einer der Server aus dem Mailsystem rum. Keine Ahnung warum man das nicht in den Griff bekommt, das scheint eine weitere DF-Baustelle zu sein...

Habt ihr dieses Problem dauerhaft oder ist es nach einer Weile wieder weg?

Wir haben seit gestern Nachmittag auch E-Mail Probleme und zwar kann unser Shopware-Shop keine E-Mails mehr versenden.

Als Fehlermeldung kommt:
{
"exception": "[object] (Zend_Mail_Protocol_Exception(code: 0): Could not read from sslout.de at /engine/Library/Zend/Mail/Protocol/Abstract.php:375)"
}

Statt sslout.de haben wir auch schon sslout.df.eu getestet, aber gleiches Problem.

Im Shopware-Forum gibt es auch einen Thread von anderen Shopbetreibern, die seit gestern Probleme mit dem E-Mail-Versand haben: https://forum.shopware.com/discussio...-not-read-from

Das betrifft nicht nur Shopware, ich hab regelmässig Kunden in der Leitung die Probleme beim Versand über sslout.de haben. Laut DF liegen da aber keine Probleme vor, sprich wir sind irgendwie alle zu doof :-)