Mobile Security

iOS 15 und macOS 12: Alte TLS-Versionen haben ausgedient

Apple will TLS 1.0 und 1.1 bald nicht mehr unterstützen. In iOS 15 & Co gelten die alten Versionen des Verschlüsselungsprotokolls bereits als abgekündigt.

Das Verschlüsselungsprotokoll Transport Layer Security (TLS) steht in Version 1.0 und 1.1 auf Apples Abschussliste: In allen neuen Betriebssystemen – iOS und iPadOS 15, macOS 12 Monterey, watchOS 8 und tvOS 15 – führt der Hersteller die beiden Ur-Versionen nun als veraltet respektive abgekündigt ("deprecated").

Sie funktionieren vorerst also noch, um Entwicklern Zeit für eine Anpassung ihrer Apps zu geben. Die Unterstützung für TLS 1.0 und 1.1 wird in "zukünftigen Versionen" aber entfernt, betonte Apple in einer Mitteilung, ohne einen genauen Termin dafür zu nennen.

Browser haben alte TLS-Versionen schon gestrichen

Apple folgt damit der Internet Engineering Taskforce (IETF), die die Urväter des Verschlüsselungsprotokolls zur sicheren Datenübertragung im März für veraltet erklärt hatte. TLS 1.0 und 1.1 gelten seit Jahren als unsicher, moderne kryptografischen Algorithmen werden nicht unterstützt.

Aus den großen Browsern, darunter auch Apples Safari, wurde der Support für die alten Versionen bereits gestrichen. Parallel war Apple im Frühjahr 2020 mit einer kürzeren Laufzeit für TLS-Zertifikate vorgeprescht: Ab dem 1. September 2020 ausgegebene SSL/TLS-Zertifikate dürfen nicht mehr länger als 398 Tage gültig sein, wie der Konzern nun mitteilte – andere Browser-Hersteller zogen nach.

Manche Apps müssen angepasst werden

Apps, die noch TLS 1.0 oder 1.1 verwenden, sollten den Umstieg auf Version 1.2 oder besser gleich Version 1.3 planen, führt Apple aus – letzteres sei schneller und sicherer. Auch im Backend auf Server-Seite müssen entsprechende Anpassungen vorgenommen werden.

Apps, die Apples Sicherheitstechnik App Transport Security (ATS) für alle Verbindungen einsetzen, brauchen nichts weiter unternehmen, dort ist mindestens TLS 1.2 vorgesehen. Apple wollte ATS eigentlich vor Jahren zur Pflicht für alle Apps machen, um Probleme mit ungesicherten Verbindungen auszuräumen – verlängerte die ursprüngliche Frist aber auf unbestimmte Zeit. Vor zwei Jahren wies eine Sicherheitsfirma darauf hin, dass ein größerer Teil an iOS-Apps die standardmäßig aktive Apple-Sicherheitstechnik offenbar gezielt abschaltet, um Werbeschaltungen und Tracking nicht zu behindern.

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben