Firefox 52: TLS 1.3 standardmäßig aktiviert
Geschätzte Lesedauer:
Mozilla wird in Firefox 52 die Unterstützung für das Verschlüsselungsprotokoll TLS 1.3 standardmäßig aktivieren. Eine erste experimentelle Unterstützung ist seit Firefox 49 implementiert.
Transport Layer Security (TLS), vielen besser bekannt unter dem alten Namen Secure Sockets Layer (SSL), bezeichnet ein Verschlüsselungsprotokoll für sichere Datenübertragung im Internet. Mozilla hat einen ersten Entwurf von TLS 1.3 in Firefox 49 implementiert. In Firefox 52 wird Mozilla die Unterstützung für TLS 1.3 standardmäßig aktivieren.
Dieser ist allerdings standardmäßig noch deaktiviert und kann zum Testen aktiviert werden, indem über about:config der Schalter security.tls.version.max von 3 (für TLS 1.2) auf 4 geändert wird.
Update 25.02.2017
Verschoben auf Firefox 53.
Weitere aktuelle Artikel aus der Kategorie „Firefox“
9 Kommentare - bis jetzt!
Eigenen Kommentar verfassenUnd jetzt du! Deine Meinung?
Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
Wie sieht das denn mit der Unterstützung der gängigen Webserver (Apache2, nginx, lighttpd,…) aus? Bisher hab ich noch keine Anleitung gefunden? Implementiert ist das in OpenSSL scheinbar auch noch nicht?
OpenSSL 1.1.1 wird voraussichtlich Unterstützung für TLS 1.3 haben.
Fuer den Status im Client und in der Bibliothek, siehe auch https://github.com/tlswg/tls13-spec/wiki/Implementations
Verschoben auf Firefox 53.
Bei Firefox 52 scheint TLSv1.3 wieder komplett deaktiviert zu sein, auch ein "security.tls.version.max" mit dem Wert 4 führt nur zu einer TLSv1.2 Verbindung. Das ist nicht nur bei meinem TLSv1.3 Testsystem https://test.felsing.net so, sondern auch bei Cloudflare. Chrome/Chromium bauen dagegen in beiden Fällen eine TLSv1.3. Verbindung auf, ebenso auch Firefox bis Version 51.x.
Nachtrag zu meinem Beitrag von vorhin: Das Problem besteht nur bei dem Fedora 25 Firefox RPM. Bei der original Mozilla Version funktioniert TLSv1.3.
Zu den Firefox-Versionen, welche per Linux-Distribution verteilt werden, kann ich leider nichts sagen. Zum einen nutze ich kein Linux, zum anderen würde ich selbst dann nur Firefox von Mozilla beziehen, weil man nur dann gewisse Garantien hat. Zum Beispiel, solange Rust noch nicht verpflichtend ist, und Mozilla Komponenten in Rust neu schreibt, ist es die Entscheidung der jeweiligen Distribution, ob sie die alte oder neue Implementierung ausliefern. Mittlerweile wurde Rust meines Wissens als verpflichtend erklärt, allerdings weiß ich jetzt nicht, ab welcher Version. Ob schon seit Firefox 52 oder erst irgendwann danach. Aber das war ja auch nur ein Beispiel. Grundsätzlich ist es so, dass man nur bei Firefox von Mozilla sicher sein kann, dass man das bekommt, was Mozilla vorgesehen hat.
Aber zumindest sollte TLS 1.3 ab Firefox 53 überall standardmäßig aktiviert sein.
Ich habe gerade heraus gefunden, warum es manchmal aktiviert ist udn manchmal nicht. Zumindest bei mir in Firefox 54 ist der Standartwert für "security.tls.version.max" 3, also nur TLS 1.2.
Das kann man nun ändern. Das Problem ist, das in Browsern der Draft 18 implementiert ist und die Entwicklung/Standardisierung soweit fortgeschritten ist, das es auch schon den Draft 20 gibt. Die müssen zusammen passen (also von Client & Server genutzt werden). Ein Server mit5 Draft 18 zu besuchen, geht also, mit Draft 20 noch nicht.
Auf https://github.com/tlswg/tls13-spec/wiki/Implementations#test-servers kann man die Draft-Versionen auch einsehen. Besucht man nun einen Server mit Draft 20 (https://franziskuskiefer.de:9913/) dann wird ein Fehler (SSL_ERROR_PROTOCOL_VERSION_ALERT) angezeigt und einem angeboten die Version auf den Standard zurück zu setzen:
> Dies könnte durch die Netzwerk-Sicherheitseinstellungen verursacht werden. Sollen die Standardeinstellungen wiederhergestellt werden?
Macht man dies, setzt dies security.tls.version.max auf 3 (TLS 1.2) zurück. Ich nehme an, dies wird durch "security.tls.version.fallback-limit" gesteuert.
Ist nicht manchmal aktiviert und manchmal nicht. Es wurde bislang einfach immer am Ende der Betaphase von Firefox 52, Firefox 53 und dann Firefox 54 deaktiviert. Ich habe ab der zweiten Aktivierung nur den Artikel nicht mehr aktualisiert. Ich warte nun, bis die Aktivierung bestehen bleibt. 😉