Samoth 32 Geschrieben 3. November 2022 Melden Teilen Geschrieben 3. November 2022 (bearbeitet) Hi zusammen, ich würde gerne mal was mit euch besprechen bzw. eure Meinung hören. Einem Kunden wurde per Audit empfohlen TLS1.0/1.1 in deren SAP-System zu deaktivieren und statt dessen auf TLS1.2/1.3 zu setzen. "OK", dachte ich mir und habe mich bei SAP zu dem Thema informiert. Keine Idee, ob ihr das kennt, aber SAP veröffentlicht zum Know-How Transfer, etc. so genannte "SAP Hinweise". Auch zu dem Thema gibt es einen (2384290 - SapSSL update to facilitate TLSv1.2-only configurations, TLSext SNI for 721+722 clients), zuletzt aktualisiert am 18.10.2022. Den kann ich bei Bedarf auch per PDF anhängen. Dort ist u. a. zu lesen: "Contrary to urban legends floating on the internet, the security benefit from disabling TLSv1.0 is formally provably ZERO, whereas the interoperability problems are painfully real. The cryptographical difference between TLSv1.0 and TLSv1.1 is quite marginal, and outside of the security properties officially provided by TLS (as documented in rfc5246 Appendix F). Where this difference mattered at all (with the prerequisite of a partially subverted communication endpoint, such the "BEAST" attack against web browsers and SSL VPNs), a fully backwards-compatible workaround using 1/(n-1) TLS record splitting was adopted in 2011, making that marginal difference between TLSv1.0 and TLSv1.1 formally provable cryptograhically negligible, even for inside attacks." Und verweist zusätzlich auf: http://www.educatedguesswork.org/2011/11/rizzoduong_beast_countermeasur.html Wir haben das mal bei SAP angefragt, denn "provably ZERO" reicht mir nicht als Aussage. Vorläufige Antwort dazu u. a. ist: "Confirmed, the information in SAP KBA 2384290 is state of the science." Soll heißen, dass die Infos im Hinweis den aktuellen Wissensstand darstellen. Wir haben weiter nachgebohrt und hoffen auf mehr erleuchtende Details. Mir geht das aber nicht in den Kopf. Einerseits zeigt eine Google-Suche, das TLS1.0/1.1 reihenweise deaktiviert und nicht mehr supported wird. Auf der anderen Seite ist SAP auch kein kleines Licht. Ich unterstelle denen schon ein gewisses Fachwissen. Und kann jemand was mit der Aussage "TLS 1.0 war nie offiziell." anfangen? Das habe ich im persönlichen Umfeld zu dem Thema gesagt bekommen... Grüße und Danke! Samoth bearbeitet 3. November 2022 von Samoth Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 3. November 2022 Melden Teilen Geschrieben 3. November 2022 Wie alt sind denn die Beiträge? Fakt ist, dass kaum noch ein Browser oder Windows TLS 1.0 unterstützt bzw. aktiviert hat. Der verlinkte Artikel ist nicht mehr existent, was nach über 10 Jahren vielleicht normal ist. 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 3. November 2022 Autor Melden Teilen Geschrieben 3. November 2022 (bearbeitet) Hi zahni, welche Beiträge? SAP verlinkt nur einen sehr alten. Aber unabhängig davon, ist die von mir zitierte Aussage in einem brandaktuellen SAP-Hinweis zu finden und SAP bestätigt diese weiterhin als Stand der Dinge. Das irritiert mich. Grüße Samoth bearbeitet 3. November 2022 von Samoth Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 3. November 2022 Melden Teilen Geschrieben 3. November 2022 Wie wäre es mit https://answers.sap.com/questions/13468484/tls-vesion-10-disabled-and-enable-12-version-in-sa.html ? 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 3. November 2022 Autor Melden Teilen Geschrieben 3. November 2022 Danke dir, aber dort wird eher beschrieben wie ich das im SAP umstelle. Mir gehts aber um mehr Details zur Aussage "Contrary to urban legends floating on the internet, the security benefit from disabling TLSv1.0 is formally provably ZERO". Zitieren Link zu diesem Kommentar
cj_berlin 1.133 Geschrieben 3. November 2022 Melden Teilen Geschrieben 3. November 2022 Moin, also POODLE und CRIME wären zwei Stichworte, die sehr für das Abschalten von TLS 1.0 und möglichst auch 1.1 sprechen. Die Verschlüsselung als solche hat sich zwar erst zu TLS 1.3 richtig gravierend weiterentwickelt, aber in 1.2 kann man SHA-2-Funktionen für die Integritätsprüfung erzwingen, und eben auch die Initial Vector- und Padding-Angriffe sind da nicht mehr so "einfach" möglich. Zitieren Link zu diesem Kommentar
Lian 2.327 Geschrieben 3. November 2022 Melden Teilen Geschrieben 3. November 2022 Bitte seid so gut und postet Text als Zitate mit Quelle (Link). Danke 3 Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 4. November 2022 Melden Teilen Geschrieben 4. November 2022 Man kann den SAP Artikel ja durchaus auch so lesen, dass das Abschalten von TLS 1.0 und das ausschliessliche Verwenden von TLS 1.1 keinen wesentlichen Sicherheitsvorteil liefert (dem ich isoliert gesehen auch durchaus zustimmen könnte), eine Aussage zu TLS 1.2 oder gar TLS 1.3 kann ich dem Artiekl ja so nicht entnehmen ....... Grüsse Gulp Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 4. November 2022 Melden Teilen Geschrieben 4. November 2022 vor 19 Stunden schrieb Samoth: The cryptographical difference between TLSv1.0 and TLSv1.1 Sehe ich auch so. Von TLS 1.2 steht ja nix drin. Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 4. November 2022 Autor Melden Teilen Geschrieben 4. November 2022 vor 54 Minuten schrieb NorbertFe: Sehe ich auch so. Von TLS 1.2 steht ja nix drin. Darum gehts mir persönlich auch nicht Die nutzen schon auch TLS 1.2 und setzen es bei aktuellen Themen wohl auch als Minimum voraus. Ich hab mal den Hinweis als PDF erzeugt und angehängt. 2384290_E_20221104-neu.pdf Zitieren Link zu diesem Kommentar
cj_berlin 1.133 Geschrieben 4. November 2022 Melden Teilen Geschrieben 4. November 2022 vor 32 Minuten schrieb Samoth: Darum gehts mir persönlich auch nicht Das ist aber der Knackpunkt hier. Wenn für SAP "Abschaltung von 1.0" nicht mehr bedeutet als "Umstieg auf 1.1", dann haben sie tatsächlich Recht. 1 1 Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 4. November 2022 Melden Teilen Geschrieben 4. November 2022 (bearbeitet) Wobei das Argument der Interoperabilität ja jeder bringen kann, um sich nicht zu verändern. ;) An der Stelle würde ich von SAP eben auch erwarten, dass sie zwar drauf hinweisen, aber die Empfehlung sollte ja trotzdem lauten die höchstmögliche Sicherheit umzusetzen. Was dann eben bedeutet, dass die interoperablen Systeme sich mitändern müssen. :) bearbeitet 4. November 2022 von NorbertFe Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 4. November 2022 Melden Teilen Geschrieben 4. November 2022 Wichtig ist noch, dass der Link im PDF zum Web Archive geht. Denn der originale Aufruf funktioniert nicht mehr: https://web.archive.org/web/20160314172859/http://www.educatedguesswork.org/2011/11/rizzoduong_beast_countermeasur.html Und ich lese es auch so, dass man TLS1.2 nutzen soll, was ja nicht falsch ist. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.