Zum Hauptinhalt springen
UnternehmenPrivat
LoginJetzt registrieren

Antworten für Unternehmen

Die Business-Knowledge-Base wird aktuell überarbeitet. Schon bald finden Sie hier aktualisierte Inhalte und erweiterte Informationen, die Ihnen einen noch besseren Überblick über unsere Produkte und Services geben. Wir danken Ihnen für Ihre Geduld und Ihr Verständnis.

Bitte beachten Sie: Die Knowledge Base hat sich ein wenig verändert. Kategorien wurden angepasst und ggf. hinterlegte URLs aus der alten Knowledge Base sind nicht mehr gültig.

Die TLS-Verschluesselung bei mailbox

Die TLS-Verschlüsselung bei mailbox

Sicherheit ist ein Prozess, den man immer wieder neu hinterfragen muss. Wir sorgen dafür, den Nutzern von mailbox stets die bestmögliche Sicherheit gemäß aktuellen Standards zu bieten und die Sicherheit unserer Server kontinuierlich zu verbessern.

2016 haben wir in der Woche vor Weihnachten auf unseren Servern Änderungen an den im Hintergrund eingesetzten Verschlüsselungstechnologien vorgenommen. Dadurch hat sich seitdem die Sicherheit unserer Nutzer deutlich erhöht. Dies war unter anderem notwendig, weil sich zum Januar 2017 die Voraussetzungen für eine Zertifizierung als „Sicherer Mail-Provider“ gemäß der BSI-Richtlinie TR-03108-1 des Bundesamts für Sicherheit in der Informationstechnik verschärft haben.

Durch die neuen Vorgaben dürfen die TLS-Protokolle 1.0 und 1.1 nicht mehr eingesetzt werden – stattdessen muss flächendeckend TLS 1.2 verwendet werden.

Dies wird von allen aktuellen Implementierungen unterstützt; wir sehen jedoch mitunter 2–3 % ältere TLS-Versionen, die darauf zurückzuführen sind, dass Kunden veraltete Software auf ihren Betriebssystemen einsetzen. Es ist zu erwarten, dass es auch bei anderen Plattformen im Internet oder im Bereich Online-Shopping zu ähnlichen Kompatibilitätsproblemen kommen wird.
Ein Update auf aktuelle Versionen ist daher stets empfohlen.

Auf einen Blick: Was bedeuten diese Änderungen?

Ältere Software ist nicht mehr kompatibel mit den neuen Technologien.
Mit folgenden veralteten Webbrowsern werden Sie über kurz oder lang mailbox Office (und andere Bereiche des Internets) nicht mehr nutzen können:

  • Internet Explorer 10 und älter
  • Firefox 24 und älter
  • Google Chrome 29 und älter
  • Safari 8 und älter
  • Opera 16 und älter

Ebenfalls werden Sie mit folgenden veralteten Smartphone-Betriebssystemen Ihre Mails, Kontakte und Kalender nicht mehr mit mailbox Office (und anderen Diensten) synchronisieren können:

  • Android 4.3 und älter
  • Windows 8.1 ohne Update und älter
  • iOS 8.4 und älter

Nutzer unseres Jabber-Dienstes, die den Client Jitsi für Windows verwenden, sind ebenfalls betroffen (Stand: 10/2017). Bitte wechseln Sie gegebenenfalls den Client.

Eine aktuelle Softwareversion erhöht auch in anderen Bereichen Ihre Sicherheit.
Daher möchten wir Sie bitten, auf regelmäßige Updates Ihrer Software zu achten.

Wir können derzeit noch nicht abschätzen, bis wann wir alle neuen Empfehlungen vollständig umgesetzt haben werden. Aktuell ermitteln wir die Art der Auswirkungen und die Anzahl betroffener Nutzer. Über kurz oder lang werden TLS 1.0 und TLS 1.1 jedoch flächendeckend im Internet verschwinden müssen. Es ist notwendig, diesen Schritt zu gehen.

SHA-1 Hash-Algorithmus ist abgekündigt

Gemäß BSI TR-02102-2 endet die Übergangsfrist für die Verwendung des SHA-1 Hash-Algorithmus in der TLS-Verschlüsselung Ende 2016.
Ab Januar 2017 darf dieser Hash-Algorithmus für die Authentifizierung von TLS-verschlüsselten Nachrichten und Zertifikaten nicht mehr verwendet werden.
Stattdessen sind die stärkeren Hash-Algorithmen SHA256 und SHA384 zu nutzen.

TLS 1.0 und TLS 1.1 dürfen nicht mehr verwendet werden

Auch die TLS-Protokolle TLSv1.0 und TLSv1.1 dürfen gemäß BSI TR-02102-2 ab Januar 2017 nicht mehr für TLS-Verschlüsselung eingesetzt werden, da für diese Protokolle nur Chiffrensammlungen („Cipher Suites“) mit dem SHA-1 Hash-Algorithmus definiert sind.
Wir haben die Umstellung hierfür Anfang Januar durchgeführt.

Brainpool- statt NIST-Kurven für den ECDHE-Schlüsseltausch

Wenn Ihr Browser oder Mail-Client sich mit unseren Servern verbindet, wird ein temporär gültiger Sitzungsschlüssel für die Transportverschlüsselung (TLS) der übertragenen Daten ausgehandelt.
Nach Beendigung der Verbindung wird dieser Sitzungsschlüssel verworfen.
Dieses Konzept wird als Forward Secrecy bezeichnet. Es verhindert, dass Daten nachträglich entschlüsselt werden können.

Für die Aushandlung des temporären Sitzungsschlüssels stehen zwei Verfahren zur Auswahl:
der klassische Diffie-Hellman-Schlüsseltausch und die Variante auf Basis elliptischer Kurven.
Bei Letzterem können unterschiedliche Kurven verwendet werden.
Üblicherweise kommen die vom NIST („National Institute of Standards and Technology“, US-Bundesbehörde) definierten Kurven secp256r1 und secp384r1 zum Einsatz.

Die BSI-Richtlinie TR-03116-4 fordert von sicheren Mail-Providern, die elliptischen Kurven brainpoolP256r1 (und stärkere) aus dem Brainpool-Konsortium zu verwenden und diese gegenüber den NIST-Kurven zu bevorzugen.
Die NIST-Kurven sollten nur dann verwendet werden, wenn Ihr (veralteter) Browser oder Mail-Client die Brainpool-Kurven nicht unterstützt.

Die Umstellung ist erfolgreich verlaufen

Die notwendigen Anpassungen auf unseren Mail-Servern sowie die Umstellung der Webserver haben wir zum Jahreswechsel 2016/2017 erfolgreich durchgeführt. Als Nutzer sollten Sie durch diese Veränderungen keine Beeinträchtigung bemerkt haben, da die bisherigen Optionen weiterhin als Fallback verfügbar bleiben.

  • LinkedIn-Icon
  • Mastodon-Icon
  • Bluesky-Icon
  • RSS-Icon

Heinlein Gruppe