Sichere Verschlüsselung wird Pflicht: TLS 1.2 mit Microsoft 365

Frank Carius Telefonie Office 365 Cloud On Premises

Autor: Frank CariusEnterprise Architect / Partner – Auf LinkedIn vernetzen

Das Protokoll TLS (Transport Layer Security) sichert die Datenübertragung und verhindert unbefugten Zugriff auf Ihre Informationen. In naher Zukunft wird die sichere Verschlüsselung über TLS 1.2 für Exchange Online, ADSync, Yammer und andere Dienste in der Microsoft Cloud daher zum Mindeststandard. Ältere Verschlüsselungsprotokolle schaltet Microsoft aus Sicherheitsgründen zeitnah ab. Wie Sie sich jetzt vorbereiten können, lesen Sie hier.

Historisch gewachsen gibt es unterschiedlich sicherere Verfahren. SSL3 darf als kompromittiert gelten und auch TLS 1.0 und TLS 1.1 sind nicht mehr sicher genug. Der TLS 1.2-Standard wurde schon 2008 veröffentlicht und die meisten neueren Systeme sollten damit daher auch kein Problem haben. Die Umstellung ist schon gestartet und für einige Dienste rückt der Abschaltzeitpunkt von älteren Verfahren sehr nahe. Auch Ihre eigenen Server sollten schon lange TLS 1.2 anbieten und nutzen.

Neu ist, dass TLS 1.2 demnächst zur Pflicht wird und laut Microsoft immer noch viele Verbindungen ohne TLS 1.2 aufgebaut werden. Dennoch geht Sicherheit und Compliance vor, so dass Verbindungsprobleme mit diesen alten Clients in Kauf genommen werden. Sie sollten daher prüfen und gegebenenfalls handeln.

„Der Mindeststandard TLS fordert konkret den Einsatz von TLS 1.2 in Kombination mit Perfect Forward Secrecy (PFS). Alternativ kann auch bereits die Version TLS 1.3 mit PFS genutzt werden.“
Quelle: Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS)

Zur BSI-Meldung

TLS-Verwendung analysieren

Das Thema ist nicht neu aber wir wissen um die Anforderungen des Tagesgeschäfts in Firmen. Zudem gibt es „Spielverderber“, die eine TLS 1.2 Verbindung verhindern könnten, z.B.

Windows 7 SP1/2008 unterstützt TLS 1.2, es ist aber per Default abgeschaltet
Damals konnte man ja nicht sicher sein, dass die Gegenseite auch TLS 1.2 richtig unterstützt, und daher können Administratoren die Verwendung von TLS 1.2 z.B. per Gruppenrichtlinie untersagen. Wenn diese Einstellung heute noch aktiv ist, dann wird der Client nicht mehr funktionieren.
Firewalls und Proxy-Server
Wenn eine Schutzfunktion den TLS-Tunnel aufbricht, dann ist hier die Frage, welche TLS-Version das System nach intern noch anbietet und nach extern selbst nutzt. Es gibt/gab tatsächlich Installationen, die TLS 1.2 unterbunden haben, um CPU-Zeit zu sparen oder einfacher „reinschauen“ zu können.

Daher sollten Sie sich jetzt folgende Fragen stellen.

Wer nutzt noch nicht TLS 1.2?
Das sind Clients, die TLS 1.2 aufgrund der Konfiguration noch nicht nutzen, aber könnten, oder Gegenstellen, die kein TLS 1.2 anbieten. Hier sind eine Konfigurationsänderung und die Prüfung erforderlich.
Wer kann noch nicht TLS 1.2?
Beachten Sie hier insbesondere „ältere“ Programme und Skripte, die noch auf alten Frameworks oder Libraries basieren.

Microsoft Cloud-Dienste unterstützen Sie bei der Suche mit dem „TlsDeprecationReport“, den Sie unter https://servicetrust.microsoft.com/AdminPage/TlsDeprecationReport/Download herunterladen können. Die CSV-Datei enthält Informationen über den Benutzernamen, IP-Adresse, UserAgent, Anzahl der Zugriffe und das Zugriffsdatum.

Für On-Premises-Systeme können Sie z.B. im IIS eine Protokollierung aktivieren https://www.microsoft.com/security/blog/2017/09/07/new-iis-functionality-to-help-identify-weak-tls-usage/. Andere Quellen sind Protokolle der Firewall oder Ihr Monitoring, wenn dies die TLS-Version mit überprüft.