Menü
Security

Ubuntu bessert TLSv1.2-Unterstützung nach

vorlesen Drucken Kommentare lesen 8 Beiträge

Beim nächsten Long-Term-Support-Release soll das OpenSSL-Paket endlich auch Unterstützung für TLS 1.2 erhalten. Zuvor hatten die Entwickler die wegen Kompatibilitäts-Problemen explizit abgeschaltet und damit für einige Verwirrung gesorgt.

Von Haus aus unterstützt das etwa in Ubuntu 12.04 LTS enthaltene OpenSSL 1.0.1 bereits den aktuellen Standard TLS v1.2, den mittlerweile auch immer mehr Server einsetzen; dies wird allgemein als notwendiger nächster Schritt zur Verbesserung der Verschlüsselung im Internet betrachtet. Allerdings hat Canonical dies – anders als etwa Debian oder Red Hat – beim Übersetzen des Pakets explizit deaktiviert. Das bedeutet, dass alle Programme, die die OpenSSL-Bibliothek nutzen, maximal Verbindungen mit TLSv1.1 aufbauen. Allerdings benutzen etwa Firefox, Chrome und Thunderbird eine andere Krypto-Bibliothek – Mozillas Network Security Services (NSS) – und sind somit nicht betroffen.

Wer aber zum Beispiel mit OpenSSLs Kommandozeilen-Tool unter Ubuntu die SSL/TLS-Fähigkeiten eines Servers testet, erhält dabei falsche oder zumindest irreführende Ergebnisse. So meldet etwa ein Test des Google-Servers

# openssl s_client -connect mail.google.com:443
...
SSL-Session:
Protocol : TLSv1.1
Cipher : ECDHE-RSA-RC4-SHA

Auf einem Debian-System etwa meldet OpenSSL bereits eine Verbindung mit TLSv1.2 und ECDHE-RSA-AES128-GCM-SHA256. Wer also verlässliche Aussagen über die Fähigkeiten eines Servers braucht, sollte auf eine andere Distribution oder Tools wie gnutls-cli ausweichen, die nicht von der Verkrüppelung betroffen sind.

Laut Marc Deslauriers von Canonical soll in Ubuntu 14.04 LTS "Trusty Tahr" die Unterstützung von TLSv1.2 aktiviert werden. Dessen Erscheinen ist für den 17. April angekündigt; ob auch das weiterhin unterstützte 12.04 LTS aktualisiert wird, ist bisher nicht bekannt. (ju)