Das Dokument empfiehlt die Deaktivierung von SHA1 in TLS 1.2 und verweist dabei auf [1]. Dort ist zu lesen, dass es dabei um signature_algorithms geht, welches von Clients gesetzt wird. RFC5246 schreibt zudem:

If the client provided a "signature_algorithms" extension, then all certificates provided by the server MUST be signed by a hash/signature algorithm pair that appears in that extension.
Man hat als Serverbetreiber also nicht die Möglichkeit das zu deaktivieren.

Gruß
 Damian

[1] https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-00

Am 25.04.19 um 14:22 schrieb Guido Bunsen:

Liebe Kolleginnen und Kollegen,

Anfang 2020 werden die führenden Browserhersteller die Unterstützung von TLS 1.0 und TLS 1.1 deaktivieren. Aus diesem Anlass hat der Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen (AKIF) eine Empfehlung erstellt.

Kern der Empfehlung ist es, nur noch Verschlüsselungen mit TLS 1.2 auf den Servern der RWTH zuzulassen und TLS 1.0 und TLS 1.1 zu deaktivieren.

Der Empfehlung möchten wir uns anschliessen. Sie ist dieser E-Mail angehängt.


Mit freundlichen Grüßen,

Guido Bunsen, Jens Hektor, Bernd Kohler


PS. Die Webseite https://cipherli.st/ enthält Hinweise zur Umsetzung der Empfehlungen



_______________________________________________
rwth-security mailing list -- rwth-security@lists.rwth-aachen.de
To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de