TLS 1.2 aktivieren

[BodoBiker]

Guten Tag!

Nachdem mein Webhoster nur noch TLS 1.2 (eine Empfehlung, die wohl bald alle Anbieter umsetzen werden) für verschlüsselte Verbindungen unterstützt, habe ich das Aufgabe, TLS 1.2 in meinem THL2015 mit Android 4.4.4 zu aktivieren. Laut Internetrecherche ist TLS 1.2 enthalten, aber eben deaktiviert.
Weiß jemand, wie das generell realisiert werden kann?
Was ich bisher mit Tante Google gefunden habe, sind Infos für App Entwickler. Das würde bedeuten, ich müsste warten bis jede App die SSL nutzt durch die Programmierer entsprechend aktualisiert wurde.

Viele Grüße,
Bodo Biker

 

[email.filtering]

Jetzt sollten wir erst mal klären, wer denn TLS 1.2 schon unterstützt. Wenn das der Code des AOSP für die Version 4.4.4 ist, dann wird das dort wohl nicht nur in deaktivierter Forum der Fall sein. Falls doch, muss erst mal der OS-Anbieter Hand anlegen. Und natürlich müssen auch die entsprechenden Apps diese Verschlüsselung unterstützen.

 

[BodoBiker]

Nun ich kann nur sagen, bei mir bringt das Ghost Commander Webdav Plugin folgende Fehlermeldung (Screenshot).
Außerdem liefert DAVDroid eine ähnliche Info: „…2016-05-16 09:03:10 4 [ui.setup.DavResourceFinder] PROPFIND/OPTIONS on user-given URL failed
EXCEPTION javax.net.ssl.SSLHandshakeException: javax.net.ssl.SSLProtocolException: SSL handshake aborted: ssl=0x7c4a4420: Failure in SSL library, usually a protocol error
error:1407743E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert inappropriate fallback (external/openssl/ssl/s23_clnt.c:744 0x7a359894:0x00000000)…”

www.webdpace4all.de liefert dazu folgende Erklärung: "...unsere Server unterstützen aus Sicherheitsgründen nur noch TLS 1.2 zur SSL-Verschlüsselung."

Tante Google liefert zumindest für App-Entwickler Lösungsansätze: Android 4.1+ enable TLS 1.1 and TLS 1.2 - blog.dev-area.net

Housten, wir haben ein Problem. Sitzen wir es aus...

 

[email.filtering]

Da wirst Du in der Praxis wohl nur zwei Möglichkeiten haben: Entweder wechselst Du das Gerät, oder den Webspace-Anbieter!

 

[BodoBiker]

So wie 32.5% aller Nutzer von Androidgeräten, die KitKat verwenden. Android version history - Wikipedia, the free encyclopedia . Die sind sicher alle begeistert.

 

[BodoBiker]

Die Experten von DAVdroid haben das Problem auf die Cipher Suiten eingegrenzt.
Mein Hoster unterstützt nur

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)

Dafür wird API level 20+ (Android 5.0) benötigt. (according to SDK docs):

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256: API level 20+
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384: API level 20+
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256: API level 20+
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384: API level 20+

Wäre es denn denkbar das Google die neueren Cipher Suites in KitKat nachinstalliert? Wo wäre das bei Google anzuzeigen?

 

[email.filtering]

Das OS Deines Gerätes liefert aber nicht Google (wenn Du nicht gerade ein Gerät von Google selbst nutzt), sondern der jeweilige Gerätehersteller, der dazu den Open Source Code des AOSP nutzt.

Alternativ kannst Du es ja mit einem allenfalls verfügbaren CM ab 12.0 versuchen.

 

[BodoBiker]

Dann soll der Open Source Code des AOSP(?) ergänzt werden. Wo kann man das Thema dort adressieren?

Es ist für mich unvorstellbar, dass ich von den 32,5 % KitKat Nutzern der einzige mit dem Problem bin. Die Umstellung auf TLS 1.2 mit starken Cipher Suites werden früher oder später alle Anbieter durchführen müssen, da es eine sicherheitsrelevante Vorgabe ist. Auf meiner Arbeit hatten wir auch schon umgestellt, sind aber wegen massiver Kundenbeschwerden (manche nutzen noch WinXP im WWW) erst einmal wieder zurück gegangen. Bei uns ist eben der Kunde noch König.

Ich nutze THL 2015 und Samsung Galaxy 10.1 Note. Da geht nix mit CM 12.0 oder LolliPopp, sondern leider nur KitKat.

 

[email.filtering]

Wenn der OS-Anbieter keinen Backport solcher Features erstellt und integriert (und das ist nicht nur in der Android -Welt mehr als unwahrscheinlich) hast Du leider Pech gehabt.

 

[BodoBiker]

Gelöst. Dankeswerter Weise hat meine Webhoster seine HTTP/2 basierte Konfig um die Android 4.4 tauglichen cipher suiten erweitert.
Im Interesse der Sicherheit bin ich aber immer noch der Meinung, dass es vernünftig und richtig wäre, die aktuellen cipher suiten in Android 4.4 zu implementieren.
Sollte das heute nicht "einfach" (zentales, herstellerunabhängiges Update) möglich sein, sollte das als notwendige Verbesserung für die Zukunft Android 7.0 (?) aufgenommen werden.
Mit besten Grüßen an ASOP!