TLS1.0 & 1.1 abschalten Edge Chromium

themaster · Beitrag von **themaster** » 02.11.2019, 22:39

Hallo Leute,

hat schon jemand rausgefunden wie man im neuen EDGE TSL1.0 und 1.1 abschalten kann?

Habe die Version: Microsoft Edge ist auf dem neuesten Stand.
Version 80.0.320.0 (Offizielles Build) canary (64-Bit)
Installiert finde aber nichts griffiges im Netz.

Es wäre auch schön wenn man die unsicheren Verschlüsselungen abschalten könnte das geht aber genauso wenig wie in Chrome

Lästig.

Danke

Code: Alles auswählen

Protocols
TLS 1.3	Yes
TLS 1.2	Yes
TLS 1.1	Yes
TLS 1.0	Yes
SSL 3	No
SSL 2	No


Cipher Suites (in order of preference)
TLS_GREASE_FA (0xfafa)	-
TLS_AES_128_GCM_SHA256 (0x1301)   Forward Secrecy	128
TLS_AES_256_GCM_SHA384 (0x1302)   Forward Secrecy	256
TLS_CHACHA20_POLY1305_SHA256 (0x1303)   Forward Secrecy	256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)   Forward Secrecy	128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   Forward Secrecy	128
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)   Forward Secrecy	256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   Forward Secrecy	256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9)   Forward Secrecy	256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)   Forward Secrecy	256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)  WEAK	128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)  WEAK	256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c)  WEAK	128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d)  WEAK	256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)  WEAK	128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)  WEAK	256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)  WEAK	112

Beitrag von **Tante Google** » 02.11.2019, 22:39

moinmoin · Beitrag von **moinmoin** » 03.11.2019, 08:01

Wenn das im Browser nicht geht, wirst du es wohl nur systemweit deaktivieren können.

DK2000 · Beitrag von **DK2000** » 03.11.2019, 10:53

Das geht nur über die Richtlinien:

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SSLVersionMin"="tls1.2"

Mit Chrome und Vivaldi geht das entsprechend auch:

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Vivaldi]
"SSLVersionMin"="tls1.2"

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
"SSLVersionMin"="tls1.2"

Danach sieht das im entsprechenden Browser so aus:

Code: Alles auswählen

Protocols
TLS 1.3	Yes
TLS 1.2	Yes
TLS 1.1	No
TLS 1.0	No
SSL 3	No
SSL 2	No

Die meisten Richtlinien von Google Chrome funktionieren. Eine Übersicht erhält man, in dem man im neuen Edge/Vivaldi/Chrome in der Adressleiste edge://policy bzw. vivaldi://policy bzw. chrome://policy eingibt.

themaster · Beitrag von **themaster** » 03.11.2019, 17:20

Danke für die Info eure Infos beziehen sich aber auf den "alten" Edge und Chrome aber nicht den "Chrome" basierenden Edge.

Aber ich habe nach langer suche die Befehle für den CHROME Edge gefunden die "natürlich" anders lauten als für den Chrome.

Code: Alles auswählen

--ssl-version-min=tls1.2

Direkt hinter die Exe und nun hab ich nur noch TLS1.2 und höher.

DK2000 · Beitrag von **DK2000** » 03.11.2019, 17:23

Also ich habe das mit Edge Chromium getestet (Version 78.0.276.24 (Offizielles Build) beta (64-Bit)) und es funktioniert einwandfrei mit den Chrome Richtlinien. Ansonsten hätte ich das ja nicht geschrieben.

Aber stimmt, über "--ssl-version-min=tls1.2" sollte das auch gehen. Das habe ich aber nicht getestet.

themaster · Beitrag von **themaster** » 03.11.2019, 17:25

Komisch bei mir greift es nicht wenn ich es in die Reg eintrage.

DK2000 · Beitrag von **DK2000** » 03.11.2019, 17:26

Was zeigt Edge denn an, wenn Du in der Adressleiste edge://policy eingibst?

Steht dann da, dass die Richtlinie aktiviert wurde?

themaster · Beitrag von **themaster** » 03.11.2019, 17:28

Microsoft Edge ist auf dem neuesten Stand.
Version 80.0.320.0 (Offizielles Build) canary (64-Bit)

"Keine Richtlinien festgelegt"

Egal eine der Methoden greift ja danke für die Hilfe.

Achja schaltet nicht alle WEAK Ciphers in Windows ab, habe ich gestern über GPOs gemacht und TATA Uplay, MS Store gehen danach nicht mehr

DK2000 · Beitrag von **DK2000** » 03.11.2019, 17:30

Oder geht das nicht mehr mit der 80.0.320.0? Müsste ich die mal testen.

Gerade mit der Version 80.0.320.0 (Offizielles Build) canary (64-Bit) getestet und es funktioniert in der Registry, wie oben beschrieben.

Nur um sicher zu gehen: Du hast "SSLVersionMin" als REG_SZ angelegt?

Code: Alles auswählen

Schlüsselname:     HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
Wert 0
  Name:            SSLVersionMin
  Typ:             REG_SZ
  Daten:           tls1.2

themaster · Beitrag von **themaster** » 03.11.2019, 17:53

Soooo... greift nun auch über die REG

....

in der Reg hab ich bei " tls1.2" wie hier ein Leerzeichen davor stehen gehabt deswegen wollte er es nicht

Nun steht es auch hier drin:

SSLVersionMin
tls1.2
Plattform
Gerät
Erforderlich
OK

Wert
tls1.2