Neue Mindestanforderungen für sichere Datenübertragung

Thomas Einwaller
8. Oktober 2020

Mit 1. November 2020 werden wir die Sicherheit der Datenübertragung bei timr verbessern indem wir die Protokolle und Chiffrierungsverfahren der eingesetzten HTTPS Verbindungen anpassen. Das bedeutet, dass ältere, mittlerweile als unsicher geltende Verfahren, zukünftig nicht mehr unterstützt werden.

Müssen Sie hier etwas anpassen?

Sofern Sie aktuelle Browser und Smartphones verwenden werden Sie als Benutzer von dieser Umstellung nichts bemerken. Diese Geräte verwenden auch jetzt bereits Verfahren mit aktueller Sicherheit.

Sollten Sie jedoch noch ältere Browser oder Smartphones verwenden könnte diese Änderung bedeuten dass sich die Geräte nicht mehr mit dem timr Server verbinden können. Dies kann u.a. für folgende Browser/Geräte eintreffen:

  • Internet Explorer 10
  • Smartphones mit Android 4.4
  • BlackBerry Geräte mit Android 4
  • Windows Phone 8 Geräte oder älter

Die genaue Liste der kompatiblen Systeme ab TLS 1.2 können sie diesem Wikipedia Artikel entnehmen.

Verwendung der timr API

Falls Sie timr über die SOAP API an interne Systeme angebunden haben könnte diese Anbindung ebenfalls von der Umstellung betroffen sein. Prüfen Sie daher ob Ihre Implementierung mit den neuen Protokoll Anforderungen kompatibel ist.

Technische Details

Im Detail bedeutet dies dass zukünftig nur noch TLS 1.2 und höher unterstützt werden. Die bisher noch tolerierten Protokolle TLS 1.0 und TLS 1.1 werden ab diesem Zeitpunkt nicht mehr unterstützt. Außerdem werden nur noch folgende Cipher Suites unterstützt:

  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256