TLS-Protokollversion-Diagnosetool
Geben Sie einen Domainnamen ein, um zu prüfen, welche TLS-Versionen (1.0 bis 1.3) unterstützt werden. Kostenlos feststellen, ob veraltete Versionen auf Ihrem Server noch aktiviert sind.
Tipps zur Verwendung
- PCI DSS (der Sicherheitsstandard der Zahlungskartenindustrie) schreibt seit 2018 vor, TLS 1.0/1.1 als „unzureichend sichere Protokolle“ zu deaktivieren. Websites mit Zahlungsabwicklung sollten dies zuerst prüfen.
- Anders als ein SSL-Zertifikatsprüfer, der Ablaufdatum und Aussteller eines Zertifikats untersucht, diagnostiziert dieses Tool die Protokollkonfiguration selbst — welche Versionen der Server auszuhandeln bereit ist. Beide zusammen zu nutzen liefert ein vollständigeres Bild.
- TLS 1.0/1.1 aktiviert zu lassen, unterbricht den normalen Datenverkehr nicht sofort, doch große Browser bewegen sich zunehmend dahin, sie standardmäßig abzulehnen — eine frühzeitige Deaktivierung verringert künftige Kompatibilitätsrisiken.
- Sind hingegen sowohl TLS 1.2 als auch 1.3 deaktiviert, deutet das stark auf eine Fehlkonfiguration hin, da moderne Browser sich unter Umständen gar nicht verbinden können — behandeln Sie dies als höchste Priorität.
- Läuft Ihre Website auf einem Shared-Hosting-Server oder hinter einem CDN, werden die TLS-Versionseinstellungen meist vom Hosting-Anbieter kontrolliert. Melden Sie gefundene Probleme dessen Support.
Häufig gestellte Fragen
Übrigens – Die Entwicklung der TLS-Versionen und ihre Schwachstellen
SSL, der Vorgänger von TLS, wurde Mitte der 1990er-Jahre von Netscape entwickelt, doch sowohl SSL 2.0 als auch 3.0 hatten grundlegende Designfehler. TLS 1.0, 1999 als Nachfolger von SSL 3.0 standardisiert, litt in manchen Implementierungen weiterhin unter einer unsachgemäßen Behandlung von Initialisierungsvektoren bei CBC-Modus-Chiffren — eine Schwäche, die der BEAST-Angriff 2011 demonstrierte.
2014 deckte der POODLE-Angriff einen Designfehler in SSL 3.0 selbst auf, und die Sorge weitete sich schnell auf das architektonisch ähnliche TLS 1.0/1.1 aus. PCI DSS, der Sicherheitsstandard der Zahlungskartenindustrie, kündigte 2015 ein stufenweises Verbot von TLS 1.0 an und setzte Juni 2018 als endgültige Frist für die vollständige Migration weg von TLS 1.1 und darunter.
TLS 1.3, 2018 standardisiert, zog Lehren aus diesen vergangenen Schwachstellen, indem anfällige Cipher Suites (wie RC4 und Blockchiffren im CBC-Modus) aus der Spezifikation entfernt und die Anzahl der Handshake-Roundtrips reduziert wurden. Heute aktivieren die meisten großen Browser und Serversoftware TLS 1.3 standardmäßig und haben die Unterstützung für TLS 1.0/1.1 bereits eingestellt.
Dennoch gibt es weltweit Server, die weiterhin auf alten Systemen angewiesen sind, und es ist nicht ungewöhnlich, TLS 1.0/1.1 unbemerkt weiterhin aktiviert vorzufinden. Eine Serverkonfiguration, die Administratoren leicht übersehen, auf einen Blick sichtbar zu machen, ist genau der Wert, den ein Diagnosetool wie dieses bietet.