Bye bye TLS 1.0 and TLS 1.1!

May 03, 2021 / by Joerg Wunderlich


Microsoft schaltet zum 30. Juni 2021 veraltete TLS Authentifizierungsprotokolle (TLS 1.0 / TLS 1.1) im Azure Active Directory aus Sicherheitsgründen ab. Da das Azure Active Directory (AzureAD) als zentraler Authentifizierungsdienst genutzt wird, hat das mitunter weitreichende Folgen.

Hintergrund dafür ist das gezielte Schließen von kritischen Sicherheitslücken in der Authentifizierungskette gegenüber 3rd-Party-Anbietern, die in der Vergangenheit unter Namen wie Heartblead, POODLE, BEAST oder CRIME bekannt wurden. Durch die Abschaltung der veralteten Protokolle wird die Sicherheit für die gesamte Organisation deutlich verbessert. Weitere Dienste wie Google, Apple, Mozilla, ZScaler etc. haben ebenfalls eine Abschaltung der anfälligen TLS Authentifizierungsprotokolle angekündigt. Siehe auch die offizielle IETF Best Practice Empfehlung RFC8996.

Das AzureAD authentifiziert viele der derzeit über 17.000 cloudbasierten 3rd-Party-Anwendungen, von denen knapp ein Fünftel dafür bekannt sind, dass sie ausschließlich TLS 1.0 bzw. TLS 1.1 unterstützen. Darunter auch sehr namhafte Hersteller.

Office 365 wurde bereits vor einiger Zeit durch Microsoft erfolgreich auf die TLS 1.2 Authentifizierung umgestellt. Bei 3rd-Party-Anwendungen in der Cloud ist die Vorgehensweise anders. Hier müssen die Kunden selbst prüfen, ob sie betroffen sind. Im schlimmsten Fall können die entsprechenden Anwendungen nach dem 30. Juni 2021 nicht mehr genutzt werden und der Kunden muss sich darauf verlassen, dass die Hersteller nachziehen und ihre Authentifizierungsmethode umstellen.

Darüber hinaus gibt es eine Reihe von lokalen Abhängigkeiten, die auf Kundenseite in jedem Fall berücksichtigt werden müssen. Dazu gehören beispielsweise folgende Szenarien, die sich in irgendeiner Form gegen Azure AD authentifizieren:

Diese Liste hat keinen Anspruch auf Vollständigkeit, soll jedoch die offensichtlichen Fälle berücksichtigen.

Sie können hier einen Microsoft Azure AD Report über veraltete Authentifizierungsverfahren samt genutzter Protokolle erhalten, die das Azure AD in Ihrem Mandanten durchführt.

Weitere Hilfe finden Sie auch in folgendem Microsoft Artikel:
https://docs.microsoft.com/de-de/troubleshoot/azure/active-directory/enable-support-tls-environment

Eine SSL TLS Unterstützungsdiagnose kann außerdem mittels dieser Website durchgeführt werden (Hinweis: Bei der Authentifizierung spielen in der Regel mehrere URLs eine Rolle, die jeweils gesondert geprüft werden müssen):
https://www.ssllabs.com/ssltest/.

SSL Server Test

Kunden, die unseren 100 % Cloud Blueprint vollständig umgesetzt haben, sind hier klar im Vorteil. Unsere Must-Have-Anforderungen sind Microsoft 365 E3 + E5 Security (SKUs). Damit haben sie uneingeschränkten Zugriff auf die Microsoft Cloud App Security mit seinem umfangreichen Cloud App Catalog (17.000 + SaaS-Anwendungen). Betroffenen Anwendungen können dort gefiltert werden.

Cloud App Security

Sollten Sie darüber hinaus professionelle Hilfe wünschen, stehen Ihnen unsere Kollegen gerne zur Seite.