In 2017 hatte ich mal diesen Artikel über die Häufigkeit von TLS Ciphern geschrieben:
Heute folgt das Update für 2025
von 272.655 eingegangenen Emails, Zahlen sind rückläufig weil Leute Ihre digitale Souveränität an M$ 365 abtreten, haben sich die durchgängig TLS 1.2/1.3 Cipher wie folgt platziert:
| 130.711 | TLS1.3:TLS_AES_256_GCM_SHA384:256 |
| 68.885 | TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 |
| 57.627 | TLS1.3:TLS_AES_128_GCM_SHA256:128 |
| 13.584 | TLS1.2:ECDHE-RSA-AES128-GCM-SHA256:128 |
| 1.006 | TLS1.2:ECDHE-RSA-AES128-SHA256:128 |
| 287 | TLS1.2:DHE-RSA-AES256-GCM-SHA384:256 |
| 240 | TLS1.2:AES128-GCM-SHA256:128 |
| 178 | TLS1.2:AES256-SHA:256 |
| 57 | TLS1.2:ECDHE-RSA-CHACHA20-POLY1305:256 |
| 24 | TLS1.3:TLS_CHACHA20_POLY1305_SHA256:256 |
| 24 | TLS1.2:ECDHE-RSA-AES256-SHA:256 |
| 16 | TLS1.2:AES256-GCM-SHA384:256 |
| 10 | TLS1.2:DHE-RSA-CHACHA20-POLY1305:256 |
| 4 | TLS1.2:DHE-RSA-AES256-SHA:256 |
| 1 | TLS1.2:DHE-RSA-AES128-SHA:128 |
| 1 | TLS1.2:AES128-SHA256:128 |
Auf die Frage…
Wieso ist TLS 1.2 in 2025 noch an Platz 2?
.. gibt es leider eine sehr beschämende Antwort für Microsoft: Euer TLS Setup ist Schrott.
Win11 sollte eigentlich TLS 1.3 defaultmäßig aktiviert haben, das zeigt sich aber in den Outlook Connections nicht, weil die für SMTP nur TLS 1.2 benutzen oder TLS 1.3 nicht funktioniert. Im Netz fanden sich einige Posts, wo das langsam mal jemandem auffällt. Bei Win10 sieht es so aus, daß die TLS 1.3 Implementierung laut Microsoft defekt ist und nicht benutzt werden sollte. Einige haben es trotzdem laufen, aber das ist eine andere Sache.
Zusammenfassung: Win10 kann nicht, Win11 will TLS 1.3 nicht für SMTP nutzen. Tja. Gott sei dank ist TLS 1.2 noch nicht final gebrochen worden. Für Win10 User wird das aber sehr schnell sehr schmutzig, sollte das doch passieren, immerhin ist TLS 1.2 schon 17 Jahre alt. Wer auch immer das spezifiziert hat: Meine Glückwünsche!
Leute steigt auf Linux um
Allen Windowsusern kann ich eh nur raten auf Thunderbird umzusteigen, weil das eine eigene TLS Engine mitbringt, die dann auch sauber funktioniert.
Ein Glück das wir Linux mit OpenSSL und GNUTLS haben .. die funktionieren wenigstens brauchbar, auch wenn Fefe da schon öfter geflucht hat 😀