Die Häufigkeit von TLS Ciphern in 2025

In 2017 hatte ich mal diesen Artikel über die Häufigkeit von TLS Ciphern geschrieben:

Häufigkeit von TLS Ciphern

Heute folgt das Update für 2025

von 272.655 eingegangenen Emails, Zahlen sind rückläufig weil Leute Ihre digitale Souveränität an M$ 365 abtreten, haben sich die durchgängig TLS 1.2/1.3 Cipher wie folgt platziert:

130.711TLS1.3:TLS_AES_256_GCM_SHA384:256
68.885TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256
57.627TLS1.3:TLS_AES_128_GCM_SHA256:128
13.584TLS1.2:ECDHE-RSA-AES128-GCM-SHA256:128
1.006TLS1.2:ECDHE-RSA-AES128-SHA256:128
287TLS1.2:DHE-RSA-AES256-GCM-SHA384:256
240TLS1.2:AES128-GCM-SHA256:128
178TLS1.2:AES256-SHA:256
57TLS1.2:ECDHE-RSA-CHACHA20-POLY1305:256
24TLS1.3:TLS_CHACHA20_POLY1305_SHA256:256
24TLS1.2:ECDHE-RSA-AES256-SHA:256
16TLS1.2:AES256-GCM-SHA384:256
10TLS1.2:DHE-RSA-CHACHA20-POLY1305:256
4TLS1.2:DHE-RSA-AES256-SHA:256
1TLS1.2:DHE-RSA-AES128-SHA:128
1TLS1.2:AES128-SHA256:128

Auf die Frage…

Wieso ist TLS 1.2 in 2025 noch an Platz 2?

.. gibt es leider eine sehr beschämende Antwort für Microsoft: Euer TLS Setup ist Schrott.

Win11 sollte eigentlich TLS 1.3 defaultmäßig aktiviert haben, das zeigt sich aber in den Outlook Connections nicht, weil die für SMTP nur TLS 1.2 benutzen oder TLS 1.3 nicht funktioniert. Im Netz fanden sich einige Posts, wo das langsam mal jemandem auffällt. Bei Win10 sieht es so aus, daß die TLS 1.3 Implementierung laut Microsoft defekt ist und nicht benutzt werden sollte. Einige haben es trotzdem laufen, aber das ist eine andere Sache.

Zusammenfassung: Win10 kann nicht, Win11 will TLS 1.3 nicht für SMTP nutzen. Tja. Gott sei dank ist TLS 1.2 noch nicht final gebrochen worden. Für Win10 User wird das aber sehr schnell sehr schmutzig, sollte das doch passieren, immerhin ist TLS 1.2 schon 17 Jahre alt. Wer auch immer das spezifiziert hat: Meine Glückwünsche!

Leute steigt auf Linux um

Allen Windowsusern kann ich eh nur raten auf Thunderbird umzusteigen, weil das eine eigene TLS Engine mitbringt, die dann auch sauber funktioniert.

Ein Glück das wir Linux mit OpenSSL und GNUTLS haben .. die funktionieren wenigstens brauchbar, auch wenn Fefe da schon öfter geflucht hat 😀

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert