Warum TLS 1.0 deaktivieren?
TLS 1.0 wurde 1999 veröffentlicht und enthält mehrere bekannte Schwachstellen. Die IETF (Internet Engineering Task Force) hat TLS 1.0 und 1.1 im März 2021 offiziell als veraltet erklärt (RFC 8996). Alle großen Browser (Chrome, Firefox, Safari und Edge) haben die Unterstützung seit 2020 eingestellt.
Ein Server, der noch TLS 1.0 akzeptiert, ist anfällig für Angriffe wie BEAST (Browser Exploit Against SSL/TLS), die den CBC-Modus in TLS 1.0 ausnutzen. Auch wenn moderne Browser diese Version nicht mehr verwenden, können ältere Clients oder automatisierte Tools die Schwachstelle noch ausnutzen.
ThreatPulse meldet aktives TLS 1.0 oder 1.1 als Warnung. Aktives SSLv2 oder SSLv3 wird als kritisch eingestuft.
Welche TLS-Versionen sollten aktiv sein?
- TLS 1.3: aktivieren (aktueller Standard, schnell und sicher)
- TLS 1.2: aktivieren (noch sicher, nötig für ältere Kompatibilität)
- TLS 1.1: deaktivieren (veraltet seit 2021)
- TLS 1.0: deaktivieren (veraltet seit 2021)
- SSLv3: deaktivieren (gebrochen, POODLE-Angriff)
- SSLv2: deaktivieren (komplett unsicher)
TLS 1.0 auf Apache deaktivieren
Öffne die SSL-Konfiguration deines Apache-Servers (meist /etc/apache2/sites-available/default-ssl.conf oder /etc/httpd/conf.d/ssl.conf) und setze:
SSLProtocol -all +TLSv1.2 +TLSv1.3Damit werden alle Protokolle deaktiviert (-all) und nur TLS 1.2 und 1.3 explizit aktiviert. Anschließend Apache neu starten:
sudo systemctl restart apache2TLS 1.0 auf Nginx deaktivieren
In der Nginx-Konfiguration (im server-Block oder in /etc/nginx/nginx.conf):
ssl_protocols TLSv1.2 TLSv1.3;Nginx neu laden:
sudo systemctl reload nginxTLS 1.0 in Plesk deaktivieren
Wenn du ein Hosting-Panel wie Plesk verwendest, findest du die TLS-Einstellungen meist unter "Tools & Einstellungen" → "SSL/TLS-Zertifikate" oder in der Apache/Nginx-Konfiguration des jeweiligen Hosting-Pakets. In Plesk Obsidian gibt es einen dedizierten Bereich für "Sicherheitsrichtlinie", in dem du veraltete Protokolle mit einem Klick deaktivieren kannst.
TLS 1.0 beim Managed Hoster deaktivieren
Bei Shared-Hosting-Anbietern hast du oft keinen direkten Zugang zur TLS-Konfiguration. In diesem Fall kontaktiere den Support deines Hosters und bitte um die Deaktivierung von TLS 1.0 und 1.1. Gute Hoster haben das längst standardmäßig gemacht. Falls nicht, ist das ein Warnsignal.
Nach der Umstellung testen
Nach der Änderung solltest du prüfen, ob die Konfiguration korrekt greift. ThreatPulse testet per testssl.sh, welche Protokollversionen dein Server anbietet und ob bekannte Schwachstellen wie BEAST, POODLE oder DROWN noch ausnutzbar sind.
Für die optimale TLS-Konfiguration inkl. Cipher Suites empfiehlt sich der Mozilla SSL Configuration Generator. Er generiert fertige Konfigurationen für Apache, Nginx, HAProxy und weitere Server.
Kompatibilitäts-Hinweis
Seit 2020 unterstützen alle relevanten Browser nur noch TLS 1.2+. Durch das Deaktivieren von TLS 1.0/1.1 verlierst du in der Praxis keine Besucher. Die einzigen Clients, die TLS 1.2 nicht unterstützen, sind stark veraltete Systeme wie Internet Explorer 10 auf Windows 7 ohne Updates, ein verschwindend kleiner Anteil.