Süddeutsche Zeitung & das TLSv1 Gate

Und wieder einmal schlägt das TLSv1 Problem zu, diesmal bei der Süddeutschen Zeitung. Dankt Fefe für den Tipp 😉

Das Testergebnis

CheckTLS Confidence Factor for „szdm.digitalesdesign@sz.de“: 100

MX ServerPrefAnswerConnectHELOTLSCertSecureFromTo
mshgw-mx01.msh.de
[212.4.227.210]
50OK
(86ms)
OK
(114ms)
OK
(89ms)
OK
(90ms)
OK
(1,094ms)
OK
(93ms)
OK
(94ms)
OK
(120ms)
mshgw-mx01.msh.de
[212.4.227.209]
50OK
(86ms)
OK
(88ms)
OK
(86ms)
OK
(90ms)
OK
(860ms)
OK
(96ms)
OK
(92ms)
OK
(95ms)
mshgw-mx01.msh.de
[212.4.227.208]
50OK
(96ms)
OK
(84ms)
OK
(86ms)
OK
(87ms)
OK
(1,023ms)
OK
(92ms)
OK
(90ms)
OK
(90ms)
mshgw-mx02.msh.de
[212.4.227.212]
50OK
(90ms)
OK
(93ms)
OK
(90ms)
OK
(89ms)
OK
(1,024ms)
OK
(91ms)
OK
(91ms)
OK
(95ms)
mshgw-mx02.msh.de
[212.4.227.211]
50OK
(90ms)
OK
(93ms)
OK
(87ms)
OK
(92ms)
OK
(1,002ms)
OK
(87ms)
OK
(94ms)
OK
(94ms)
mshgw-mx02.msh.de
[212.4.227.213]
50OK
(88ms)
OK
(87ms)
OK
(91ms)
OK
(87ms)
OK
(1,069ms)
OK
(98ms)
OK
(91ms)
OK
(90ms)
Average100%100%100%100%100%100%100%100%

Das Testergebnis via checktls.com ist an sich ganz ok, bis auf den kleinen, aber entscheidenen Hinweis, das die Verbindung nur mit TLS 1.0 abgesichert ist 🙂

Die Verbindung selbst wurde am 14. 3. 2018 um 11:45 Uhr getestet und liefert für alle Server das gleiche Ergebnis:

Trying TLS on mshgw-mx01.msh.de[212.4.227.210] (50):

secondstest stage and result
[000.086]Connected to server
[000.198]<–220 mshgw-mx07.msh.de ESMTP
[000.199]We are allowed to connect
[000.200] –>EHLO checktls.com
[000.287]<–250-mshgw-mx07.msh.de
250-PIPELINING
250-SIZE 62914560
250-ETRN
250-STARTTLS
250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN
250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.289]We can use this server
[000.289]TLS is an option on this server
[000.289] –>STARTTLS
[000.378]<–220 2.0.0 Ready to start TLS
[000.379]STARTTLS command works on this server
[000.659]Connection converted to SSL
SSLVersion in use: TLSv1
Cipher in use: DHE-RSA-AES256-SHA
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (mshgw-mx01.msh.de = *.msh.de | DNS:*.msh.de | DNS:msh.de)

Also ich werde der Süddeutschen Zeitung keine geheimen Daten schicken , ohne die nochmal mit PGP/GPG zu verschlüsseln und am besten gar nicht per Email, sondern gleich per POST mit einem DoubleLayerEncryption USBStick 😀

BSI zu TLSv1.0

Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
werden nicht mehr empfohlen.
...
Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

ums mal ganz klar zu sagen :

Liebe Süddeutsche,

damit Eure Whistleblower auch in Zukunft noch Mail schicken, was sie zwar nicht sollten, aber das ist ein anderes Thema, wechselt doch mal die Mailserverinfrastutur aus, z.B. indem der Anbieter das Update von 2008 auf TLS 1.2 einspielt. Verschlüsselung auf dem Technikstand von 1999 einzusetzen , ist keine Lösung!