Deaktivierung von TLS 1.0 & TLS 1.1

von Markus Baumeister
12. Dezember 2023
4 Minuten zu lesen
Autor
Markus Baumeister
Wenn Microsoft Server Systeme an ihre Grenzen stoßen, dann finde ich einen Weg sie zu überwinden.
Zum Experten Profil
Teilen:

TLS-Varianten 1.0 und 1.1 wurden deaktiviert

Die neueren Windows 11 Insider Preview Versionen haben nun standardmäßig die nicht mehr sicheren TLS-Varianten 1.0 und 1.1 deaktiviert. Sollte der Kommunikationspartner dann kein TLS 1.2 (oder höher) unterstützen, wird zu diesem keine Verbindung hergestellt werden können.

Exkurs: TLS (Transport Layer Security) ist ein kryptografisches Protokoll im Bereich der Informationstechnologie. Es gewährleistet eine sichere Kommunikation über das Internet, indem es Daten während der Übertragung verschlüsselt und deren Integrität schützt. TLS ermöglicht den sicheren Datenaustausch zwischen Client und Server, indem es Authentifizierung, Verschlüsselung und Datenintegrität bietet. Es ist in verschiedenen Anwendungen wie Webbrowsern, E-Mail-Clients und anderen Netzwerkanwendungen weit verbreitet, um die Vertraulichkeit und Sicherheit sensibler Informationen zu gewährleisten.

Welche Auswirken hat das für mich?

In der Regel sollten zum heutigen Zeitpunkt TLS 1.2 Verbindungen (oder höher) entgegengenommen und unterstützt werden. Bestenfalls sind die unsicheren Varianten bereits unterbunden. Auch die großen Browseranbieter haben vor einigen Jahren den Zugriff auf Websites mit den alten / unsicheren TLS 1.0 und 1.1 Protokollen blockiert.

Betroffen sind daher zumeist ältere Serversysteme und Software.

Wie erkenne ich das?

Bei der Verbindungsherstellung wird ein TLS-Handshake ausgeführt. Sollten sich beide Kommunikationspartner nicht auf eine gemeinsame TLS-Version einigen können (z.B. Client unterstützt nur TLS 1.2, Server nur TLS 1.0 / 1.1) wird keine erfolgreiche Kommunikation zustande kommen. Hierbei wird ein Fehler im Windows „SYSTEM“ Eventlog mit der ID „36871“ und der Quelle „Schannel“ erzeugt´.

Gibt es einen Workaround?

Ja, diesen gibt es. Es wird aber ausdrücklich empfohlen zunächst zu prüfen, ob nicht die Applikation aktualisiert oder durch eine ersetzt werden kann, welche die aktuellen Sicherheits-Standards unterstützt. Des Weiteren muss damit gerechnet werden, dass der Support für die alten TLS-Versionen in zukünftigen Windows Versionen komplett entfallen wird.

Um TLS 1.0 / 1.1 als Workaround zu aktivieren und den Standard zu überschreiben, gibt es Registry-Keys. Um eine Variante zu aktivieren ist unterhalb des entsprechende Keys ein Registry Eintrag vom Typ „DWORD” mit dem Namen „Enabled“ und dem Wert „1“ zu erstellen oder entsprechend zu bearbeiten. Auch beim Workaround darauf achten: Immer nur das aktivieren, was wirklich benötigt wird. Es ist neben der TLS-Version also auch zu entscheiden, ob das Gerät eine Verbindung aufbaut (Client) oder entgegennehmen soll (Server).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server

Weitere Informationen finden Sie auch direkt bei Microsoft.

Unsere Empfehlung:

Wenn nicht bereits geschehen, beginnen Sie damit TLS 1.2 als Standard auf den Server Systemen zu aktivieren und unsichere Varianten wie TLS 1.0 / TLS 1.1 explizit zu blockieren. Daneben gibt es weitere Registry Einstellungen, damit auch .NET dem neu gesetzt System-Standard folgt oder WINHTTP zur Unterstützung von ausschließlich TLS 1.2 konfiguriert werden kann.

Das folgende Beispiel aktiviert TLS 1.2 für Client und Server, sorgt dafür, dass .NET ebenfalls die sichere Variante nutzt und deaktiviert explizit TLS 1.0/1.1.

Windows Registry Editor Version 5.00 

;Schannel - Aktivierung TLS 1.2 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] 

"DisabledByDefault"=dword:00000000 

"Enabled"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] 

"DisabledByDefault"=dword:00000000 

"Enabled"=dword:00000001 



;.NET 4.x und 3.5 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] 

"SystemDefaultTlsVersions"=dword:00000001 

"SchUseStrongCrypto"=dword:00000001 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] 

"SystemDefaultTlsVersions"=dword:00000001 

"SchUseStrongCrypto"=dword:00000001 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] 

"SystemDefaultTlsVersions"=dword:00000001 

"SchUseStrongCrypto"=dword:00000001 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] 

"SystemDefaultTlsVersions"=dword:00000001 

"SchUseStrongCrypto"=dword:00000001 



;Schannel - Deaktivierung TLS 1.0 / 1.1 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0] 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] 

"DisabledByDefault"=dword:00000001 

"Enabled"=dword:00000000 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] 

"DisabledByDefault"=dword:00000001 

"Enabled"=dword:00000000 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] 

"DisabledByDefault"=dword:00000001 

"Enabled"=dword:00000000 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] 

"DisabledByDefault"=dword:00000001 

"Enabled"=dword:00000000

Anpassungen erfolgen auf eigenes Risiko. Für Fragen oder Unterstützung wende Sie sich gerne an unseren Support, wir helfen Ihnen gerne weiter!

War dieser Artikel hilfreich für Sie?
OT Security Konferenz 2024
connecT versammelt am 21. März mehr als 60 Top-Unternehmen zum Schulterschluss zwischen IT und OT, für mehr Sicherheit in der Produktion.
Mehr Infos