Bye bye TLS 1.0 and TLS 1.1!
Microsoft schaltet zum 30. Juni 2021 veraltete TLS Authentifizierungsprotokolle (TLS 1.0 / TLS 1.1) im Azure Active Directory aus Sicherheitsgründen ab. Da das Azure Active Directory (AzureAD) als zentraler Authentifizierungsdienst genutzt wird, hat das mitunter weitreichende Folgen.
Microsoft schaltet zum 30. Juni 2021 veraltete TLS Authentifizierungsprotokolle (TLS 1.0 / TLS 1.1) im Azure Active Directory aus Sicherheitsgründen ab. Da das Azure Active Directory (AzureAD) als zentraler Authentifizierungsdienst genutzt wird, hat das mitunter weitreichende Folgen.
Hintergrund dafür ist das gezielte Schließen von kritischen Sicherheitslücken in der Authentifizierungskette gegenüber 3rd-Party-Anbietern, die in der Vergangenheit unter Namen wie Heartblead, POODLE, BEAST oder CRIME bekannt wurden. Durch die Abschaltung der veralteten Protokolle wird die Sicherheit für die gesamte Organisation deutlich verbessert. Weitere Dienste wie Google, Apple, Mozilla, ZScaler etc. haben ebenfalls eine Abschaltung der anfälligen TLS Authentifizierungsprotokolle angekündigt. Siehe auch die offizielle IETF Best Practice Empfehlung RFC8996.
Das AzureAD authentifiziert viele der derzeit über 17.000 cloudbasierten 3rd-Party-Anwendungen, von denen knapp ein Fünftel dafür bekannt sind, dass sie ausschließlich TLS 1.0 bzw. TLS 1.1 unterstützen. Darunter auch sehr namhafte Hersteller.
Office 365 wurde bereits vor einiger Zeit durch Microsoft erfolgreich auf die TLS 1.2 Authentifizierung umgestellt. Bei 3rd-Party-Anwendungen in der Cloud ist die Vorgehensweise anders. Hier müssen die Kunden selbst prüfen, ob sie betroffen sind. Im schlimmsten Fall können die entsprechenden Anwendungen nach dem 30. Juni 2021 nicht mehr genutzt werden und der Kunden muss sich darauf verlassen, dass die Hersteller nachziehen und ihre Authentifizierungsmethode umstellen.
Darüber hinaus gibt es eine Reihe von lokalen Abhängigkeiten, die auf Kundenseite in jedem Fall berücksichtigt werden müssen. Dazu gehören beispielsweise folgende Szenarien, die sich in irgendeiner Form gegen Azure AD authentifizieren:
- Nutzung veralteter Betriebssysteme (z.B. Windows 7/8 ohne explizite „Nachrüstung“, Server älter als Windows Server 2012 R2) kann fehlschlagen
- Nutzung von Webanwendungen mit veralteten Browsern (unter anderem aus Applikationskompatibilitätsgründen wie z.B. Internet Explorer 8-10 unter Windows 7) kann fehlschlagen
- Neue Azure AD Geräteregistrierung auf älteren Betriebssystemen** kann fehlschlagen
- Azure AD Connect, PTA Agenten oder AppProxy Konnektoren, die selbst veraltet sind** oder auf veralteten Betriebssystemen laufen und die TLS 1.2 nicht unterstützen, werden ggf. nicht mehr funktionieren
- MFA Erweiterungen auf ADFS Servern oder NPS Erweiterungen für Azure MFA, die auf veralteten Betriebssystemen laufen und die TLS 1.2 nicht unterstützen, werden ggf. nicht mehr funktionieren
- Azure AD integrierte Anwendungen und Powershell Scripte, die auf veralteten .NET Framework Versionen aufsetzen und die nicht für die Unterstützung von TLS 1.2 konfiguriert wurden, werden ggf. nicht mehr funktionieren
- Software as a Service (SaaS) Anwendungen oder andere Line of Business (LOB) Anwendungen, die auf Plattformen gehostet werden, die keine TLS 1.2 Unterstützung bieten, werden ggf. nicht mehr funktionieren
- Netzwerkverkehr, der über einen Webproxy mit „SSL Inspection“ geleitet wird und der TLS 1.2 nicht unterstützt, wird ggf. nicht mehr funktionieren
Diese Liste hat keinen Anspruch auf Vollständigkeit, soll jedoch die offensichtlichen Fälle berücksichtigen.
Sie können hier einen Microsoft Azure AD Report über veraltete Authentifizierungsverfahren samt genutzter Protokolle erhalten, die das Azure AD in Ihrem Mandanten durchführt.
Weitere Hilfe finden Sie auch in folgendem Microsoft Artikel: https://docs.microsoft.com/de-de/troubleshoot/azure/active-directory/enable-support-tls-environment
Eine SSL TLS Unterstützungsdiagnose kann außerdem mittels dieser Website durchgeführt werden (Hinweis: Bei der Authentifizierung spielen in der Regel mehrere URLs eine Rolle, die jeweils gesondert geprüft werden müssen): https://www.ssllabs.com/ssltest/.
Kunden, die unseren 100 % Cloud Blueprint vollständig umgesetzt haben, sind hier klar im Vorteil. Unsere Must-Have-Anforderungen sind Microsoft 365 E3 + E5 Security (SKUs). Damit haben sie uneingeschränkten Zugriff auf die Microsoft Cloud App Security mit seinem umfangreichen Cloud App Catalog (17.000 + SaaS-Anwendungen). Betroffenen Anwendungen können dort gefiltert werden.
Sollten Sie darüber hinaus professionelle Hilfe wünschen, stehen Ihnen unsere Kollegen gerne zur Seite.