Ende der Unterstützung veralteter TLS-Cipher-Suiten

Die on-geo GmbH möchte Ihnen hiermit ankündigen, dass planmäßig ab 01.04.2021 mehrere risikobehaftete Cipher-Suiten des TLS-Protokolls auf unseren Webservern deaktiviert werden.

Cipher-Suiten sind standardisierte Sammlungen kryptografischer Verfahren und dienen so der Verschlüsse- lung nach dem TLS-Protokoll bei der gesicherten Übertragung von Dateien im Internet. Das TLS-Protokoll wird auch beim Aufruf von Webseiten über HTTPS für die Verschlüsselung eingesetzt. Das bedeutet, wenn Sie unsere Webservices nutzen, wird über Ihren Browser oder Ihr System eine durch Verschlüsselung gesi- cherte HTTPS-Verbindung aufgebaut. Generell unterstützen die Webserver der on-geo GmbH die Protokolle TLS 1.2 und TLS 1.3 für eine HTTPS-Verbindung.

Mit der aktuellsten Version Ihres Standard-Browser können Sie sicherstellen, dass die zukünftig von uns an- gebotenen Cipher-Suiten kompatibel zu ihrem Browser sind und Sie unser Produktportfolio, allen voran un- sere Immobilienbewertungssoftware LORA, vollumfänglich nutzen können. Zur Überprüfung, dass Ihnen auch mit den neuen Einstellungen ein Zugriff auf unsere Webservices möglich ist, haben wir für Sie eine Test- seite unter folgender Webadresse zur Verfügung gestellt:  ssltest.on-geo.de

Wenn eine HTTPS-Fehlermeldung in Ihrem Browser erscheinen sollte, so raten wir Ihnen dringend dazu, Ihren Browser bzw. das entsprechende System zu aktualisieren.

Warum deaktivieren wir TLS-Cipher-Suiten?
Cipher-Suiten werden verwendet, wenn ein Client (Anwendung im Browser) und ein Server (Webseite) einen sogenannten TLS-Handshake (z. Dt. „Handschlag“) ausführen. Dabei tauschen beide Geräte ihre Liste von kompatiblen Cipher-Algorithmen aus. Wenn der Server eine Übereinstimmung der unterstützten Algorith- men findet, benachrichtigt er die Anwendung und eine sichere Verbindung wird hergestellt. Ein Server kann also gleichzeitig mehrere Verbindungen aufbauen und wird dediziert für jede Verbindung den sichersten Cipher-Algorithmus aushandeln. Sollte dabei keine Übereinstimmung zustande kommen, lehnt der Server die Verbindung ab.

Einige der älteren in den Protokollen TLS 1.2 und TLS 1.3 zur Anwendung kommenden Cipher-Suiten werden nach heutigen IT-Sicherheitsstandards als risikobehaftet eingestuft und sollten daher nicht mehr verwendet werden. Speziell betrifft dies Cipher-Suiten, bei denen das Verschlüsselungsverfahren „Cipher Block Chai- ning“, kurz CBC, zum Einsatz kommt. Da zwischen Ihnen und der on-geo GmbH zum Teil sensible Daten über- tragen werden, möchten wir die Möglichkeit einer unsicheren Verbindung gar nicht erst aufkommen lassen. Also haben wir uns dazu entschlossen, sämtliche Algorithmen mit der CBC-Betriebsart, die nur eine unzu- reichende Verschlüsselung bieten, nicht mehr zu unterstützten.

Einige der älteren in den Protokollen TLS 1.2 und TLS 1.3 zur Anwendung kommenden Cipher-Suiten werden nach heutigen IT-Sicherheitsstandards als risikobehaftet eingestuft und sollten daher nicht mehr verwendet werden. Speziell betrifft dies Cipher-Suiten, bei denen das Verschlüsselungsverfahren „Cipher Block Chai- ning“, kurz CBC, zum Einsatz kommt. Da zwischen Ihnen und der on-geo GmbH zum Teil sensible Daten über- tragen werden, möchten wir die Möglichkeit einer unsicheren Verbindung gar nicht erst aufkommen lassen. Also haben wir uns dazu entschlossen, sämtliche Algorithmen mit der CBC-Betriebsart, die nur eine unzu- reichende Verschlüsselung bieten, nicht mehr zu unterstützten.

Mit der Deaktivierung der Protokolle TLS 1.0 (2018) und TLS 1.1 (2020) haben wir bereits in der Vergangenheit die Sicherheit bei der verschlüsselten Übertragung von Dateien erhöht. Das Abschalten riskanter Cipher-Sui- ten folgt nun dieser Linie, da für die on-geo GmbH die IT-Sicherheit sowie die Vertraulichkeit und Integrität Ihrer Daten immer im Vordergrund stehen.

Welche Systeme sind kompatibel?
Grundsätzlich benötigen Sie ein Betriebssystem mit Browser, welche mindestens das TLS 1.2-Protokoll oder höher unterstützen. Im Normalfall beinhalten diese TLS-Protokolle die zukünftig verfügbaren Cipher-Suiten, sodass ein Verbindungsaufbau mit unseren Webservern auch nach der Umstellung möglich ist. Testen Sie dazu mit dem oben genannten Link Ihr aktuelles System auf Kompatibilität.

Die folgende Auflistung soll einen Überblick über die gebräuchlichsten anwendbaren Konfigurationen geben:

  • Mozilla Firefox – ab Version 27
  • Google Chrome – ab Version 30
  • Internet Explorer – Version 11
  • Internet Explorer – Version 8/9/10 nach Aktivierung unter Windows 7/8
  • Microsoft Edge – ab Version 12
  • Safari for Desktop – ab Version 7 unter OS X – ab Version Mavericks 9
  • iOS Safari – ab Version 5 unter iOS – ab Version 5
  • Opera – Version 12.1 und ab Version 17
  • Android – ab Version 0
  • Linux-Distributionen mit OpenSSL – ab Version 0.1

Auf den Webseiten des Dienstleiters „Qualys SSL Labs“ haben Sie außerdem die Möglichkeit bezüglich unterstützter Protokolle und Einstellungen, sowohl

Wie und Wann nimmt die on-geo GmbH die Änderungen vor?

Bei Rückfragen stehen wir Ihnen jederzeit gern zur Verfügung.

Frank Züllich
IT-Security on-geo GmbH

Folgende Cipher-Suiten werden ab dem 01.04.2021 deaktiviert:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Verfügbare Cipher-Suiten ab dem 01.04.2021:

TLS 1.3:

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384


TLS 1.2:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384