Feedback Https

[Kampfschildkroete]

Finde es gut, dass man jetzt zwingend https verwendet muss.

Hätte aber etwas Feedback dazu:
- Warum muss denn noch TLS 1.0 unterstützt werden?
- bei TLS 1.1 und TLS 1.2 sollten die als mittlerweile schwach bekannten Kombinationen nicht mehr unterstützt werden (z.B. TLS_RSA_WITH_3DES_EDE_CBC_SHA)
- Ist Fordward Secrecy an?

[DeLorean]

Du fragst mich Sachen... ich hab von dem Kram nicht wirklich Ahnung

[fotomari]

Auszug aus wikipedia.org:
. . . Eine Untersuchung von rund 40.000 Webseiten klein- und mittelständischer Unternehmen in Baden-Württemberg durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat ergeben, dass rund 7 % der untersuchten Webseiten über HTTPS angeboten werden. Bei jenen Webseiten, die über HTTPS angeboten werden, ist die serverseitige Unterstützung für TLS 1.0 noch sehr weit verbreitet (99 %).
Diese Version wird auch noch unterstützt. Bei einer 99%igen Verbreitung wird es wohl noch etwas dauern, bis TLS 1.0 abgeschafft wird.

[Kampfschildkroete]

Das sagt aber nur aus, dass viele es nicht abgestellt haben, aber nicht warum (in seltenen Fällen wahrscheinlich wirklich nicht können). Nichts gegen mittelständische Unternehmen, aber wenn davon nur 7% über https erreichbar waren, sehe ich hier eher "Verwendung der Standardkonfiguration", als eine bewusste Entscheidung.
Alle aktuellen Browser unterstützen aber eigentlich mindestens TLS 1.1 oder höher. Daher die Frage, warum es noch an ist (wenn man z.B. noch unbedingt Windows 2000/XP oder andere ältere Betriebssysteme unterstützen will, aber bei einem Forum sehe ich da nur bedingt das Szenario)?

//Edit: oder man deaktiviert, die als unsicher geltendfen Ciphersuites in TLS 1.0, dann ist ja auch schon was erreicht.

[fotomari]

Ich denke schon, dass es noch viele User gibt, die mit XP unterwegs sind.
Von Änderungen in TLS habe ich keine Erfahrung.