Original 15.03.2024): Mal kurz informiert: Microsoft hat gestern eine neue veraltete Funktion in die Liste hinzugefügt. Dabei geht es um die TLS-Server-Authentifizierungszertifikate, die RSA-Schlüssel mit Schlüssellängen von weniger als 2048 Bit verwenden.
Es gibt Clientzertifikate, mit denen sich Nutzer gegenüber einem Server authentifizieren können. Und es gibt Server-Zertifikate, mit denen sich ein Server, den man ansteuert, authentifiziert. Genau dieser muss jetzt einen RSA-Schlüssel mit Schlüssellängen von mindestens 2048 Bit haben. Hat dieser Schlüssel weniger als 2048 Bit, wird er als veraltet angesehen.
„Mit dieser Änderung soll sichergestellt werden, dass alle RSA-Zertifikate, die für die TLS-Serverauthentifizierung verwendet werden, eine Schlüssellänge von mindestens 2048 Bit haben müssen, um von Windows als gültig angesehen zu werden.
TLS-Zertifikate, die von Unternehmens- oder Testzertifizierungsstellen (CA) ausgestellt wurden, sind von dieser Änderung nicht betroffen. Es wird jedoch empfohlen, diese auf RSA-Schlüssel mit einer Schlüssellänge von mindestens 2048 Bit zu aktualisieren, um die Sicherheit zu gewährleisten. Diese Änderung ist notwendig, um die Sicherheit von Windows-Kunden zu gewährleisten, die Zertifikate zur Authentifizierung und für kryptografische Zwecke verwenden.“
[Update 10.05.2024]: Microsoft hat jetzt einen zeitlichen Ablauf in einem neuen Blogbeitrag hinzugefügt.
- April 2024: Der neue empfohlene Standard steht allen Teilnehmern des Windows Insider-Programms zur Verfügung.
- Ende 2024: 1024-Bit-RSA-Schlüssel werden veraltet sein, um sie besser an die neuesten Internetstandards und Regulierungsbehörden anzupassen.
- TLS-Serverauthentifizierungszertifikaten mit RSA-Schlüssellängen von weniger als 2048 Bit werden in den kommenden Monaten abgelehnt. Wir empfehlen Ihnen, wenn möglich eine stärkere Lösung mit mindestens 2048 Bit Länge oder ein ECDSA-Zertifikat zu verwenden.
- Die Schlüssellängen von 1024 werden im letzten Quartal dieses Kalenderjahres eingestellt.
Clientzertifikate nutze ich auch gerne und privat um mich meinen eigenen Linux-Servern vom Windows-Firefox als berechtigten Zugriff zu authentifizieren, aber da als moderne EC-384 äquivalent einer 7670-bit RSA. Ich bin immer verblüfft wie geduldig Firmenkunden sich gegen den Stand der Technik verwehren. Etwas Entrüstung bitte, die hantieren mit unseren Daten
Der Health Checker für Exchange meckert schon seit Jahren Zertifikate mit weniger als 2048 bit Schlüssellänge an.
Im Übrigen auch SHA-1 Zertifikate, die man sicherlich auch noch in vielen Firmen und Organisationen finden wird.
Die Verschlüsselung nach RSA wird lediglich für das Handshake der TLS-Verbindung verwendet und NICHT für die Verschlüsselung des Datenstromes. Selbst die amerikanische NIST hält für die nächsten Jahre 2048 Bit für völlig ausreichen (Handshake). In einer der letzten c’t war ein schöner Bericht im Zusammenhang mit dem BSI zu lesen.
Btw bisher wurde RSA lediglich mit 829 Bit Schlüssellänge geknackt. Mit jedem weiteren Bit steigt die Rechenzeit exponentiell.
Und die Beschränkung auf möglichst kleine Bitlängen hat nicht unbedingt etwas mit Faulheit oder mangelndem Sicherheitsverständnis zu tun. Ja nachdem, wieviele verschlüsselte Anfragen ein Server zu bedienen hat, schlägt sich das auch in der Performance nieder. Es ist also ein Kompromiss aus „Welche Länge gilt aktuell plus X Jahre als sicher“ und „Wieviele Anfragen muss ich bedienen bzw. wieviel muss mein Server leisten können“.
gepostet mit der Deskmodder.de-App für iOS
Das ist doch bs, die Performance die dafür von nöten ist ist völlig vernachlässigbar. Selbst eine 10+ Jahre alte CPU kann tausende gleichzeitige Anfragen mit links ab. Aber dieses fadenscheinige Gerücht mit der Performance hällt sich beständig.