Firefox 26 out-of-the-box kein TLS 1.2 (forward secrecy)

Moin *,

ich war einigermaßen überrascht (enttäuscht trifft es besser) zu erfahren, dass der aktuelle Firefox 26 out-of-the-box kein TLS > 1.0 unterstützt. Es ist zwar seit Version 21 eingebaut, muss aber in der Konfiguration (about:config) erst manuell eingeschaltet werden!
Ohne dürfte kein Perfect Forward Secrecy möglich sein. Es ist IMHO schon sehr fragwürdig, warum das ausgerechnet bei der Mozilla Foundation so gehandhabt wird.
<paranoia>Kann man denn hier gar keinem mehr trauen?</paranoia>

Die clientseitige Konfiguration des eigenen Browsers kann hier überprüft werden:
https://www.ssllabs.com/ssltest/viewMyClient.html

PFS: http://www.heise.de/security/artike...seln-mit-Perfect-Forward-Secrecy-1923800.html

cu, gehrke

Hallo,

seltsam, gab es im Firefox nicht immer eine Checkbox in der man Verschlüsselungsverfahren aktivieren konnte? :???:
Das man das im about:config korrigieren muss ist ja schon ein Krampf.

Grüße
Georg

mehr zu diesem Thema, warum, weshalb und wieso gibt es hier:
http://kb.mozillazine.org/Security.tls.version.*

Guten Morgen allerseits!

3: TLS 1.2 is the minimum required / maximum supported encryption protocol.

Was glaubst du was passiert, wenn man das als default so vorgibt? Das Geheule möchte ich hören! (Oder besser nicht!)
Der ONU, welcher noch nie etwas von TLS oder gar PFS (und der wie fast alle der Dt. Michel absolut nichts zu verbergen hat) würde sich in allen Foren beschweren und letztendlich diesen "sch*** Firefox", der "nicht funktioniert" von der Platte werfen. Ob Mozilla das will?

Eine derartige Einstellung kannst du nur als Default vorgeben, wenn bis auf ganz wenige Ausnahmen alle Server entsprechend umgestellt sind.

Etwas völlig anderes ist es, wenn der wissende User diese Einstellung bewusst vornimmt. Dann kann er auch bei auftretenden Fehlermeldungen oder bei Nichterreichbarkeit einer Seite entsprechend reagieren.
DAS ist die Begründung dafür!

<paranoia>Kann man denn hier gar keinem mehr trauen?</paranoia>

Zum Vergrößern anklicken....

Diese Frage beantworte ich dir mit einem klaren JA!
Damit meine ich weniger openSource-Programmen wie dem Fx und dem TB. Das berechtigte Misstrauen geht ja schon bei der Hardware los. Im Moment ist es das generelle Problem der IT-Sicherheit, dass niemand sicher sein kann, ob nicht irgendwo bewust Schwachstellen eingebaut wurden. Wir können gespannt sein, was da alles noch gefunden wird.


MfG Peter

Vielen Dank für Eure Hinweise! Auf den Beitrag von '/dev/null' gehe ich evtl. später noch mal ein.

Jägerschlürfer schrieb:

mehr zu diesem Thema, warum, weshalb und wieso gibt es hier:

Zum Vergrößern anklicken....

Ich bin derzeit nicht davon überzeugt, dass die dort gemachten Aussagen zur Inkompatibilität heute noch zutreffend sind. Der Timestamp der Seite stammt vom 27.06.2013, also im wesenlichen aus der Vor-Snowden-Zeitrechnung und behandelt wird Version 24.

Kennt jemand eine Beispiel-Site, die mit TLS 1.0/1.1 läuft und bei welcher der Connect mit diesem clientseitigen Setup versagt??? Ich habe bislang jedenfalls noch keine Probleme dieser Art festgestellt, zugegeben in einem sehr kurzen Testzeitraum.

gehrke schrieb:

Kennt jemand eine Beispiel-Site, die mit TLS 1.0/1.1 läuft und bei welcher der Connect mit diesem clientseitigen Setup versagt??? Ich habe bislang jedenfalls noch keine Probleme dieser Art festgestellt, zugegeben in einem sehr kurzen Testzeitraum.

Zum Vergrößern anklicken....

Auch eine Woche später sind mir keine Probleme untergekommen und ich halte das für immer unwahrscheinlicher, jedenfalls solange man nicht am 'min'-Parameter rumschraubt.

However: Mozilla scheint nachgelegt zu haben:

Mozilla hat die Version 27 seines Browsers Firefox veröffentlicht. Sichtbare Veränderungen gibt es zwar kaum, bei der Verschlüsselung schließt Firefox aber zu seinen Konkurrenten auf und aktiviert TLS 1.2 in der Standardeinstellung.

Zum Vergrößern anklicken....

Quelle: http://www.golem.de/news/firefox-27-bessere-verschluesselung-social-api-erweitert-1402-104354.html