security.tls.version.*

  • Inhaltsverzeichnis

    Thunderbird bietet die versteckten Einstellungen security.tls.version.min und security.tls.version.max. Mit diesen Einstellungen lässt sich steuern, welche SSL bzw. TLS-Versionen Thunderbird unterstützen soll. Um die Einstellungen von der Standard-Einstellung abweichend festzulegen, müssen Sie den Konfig-Editor verwenden.

    1 Über SSL bzw. TLS

    Das Secure Socket Layer-Protokoll (SSL) und sein Nachfolger, das Transport Layer Security-Protokoll (TLS), definieren, wie ein Browser oder E-Mail-Client über eine verschlüsselte Verbindung oder einen verschlüsselten Datenstrom mit einem Server kommuniziert. Dabei hat SSL/TLS nichts mit der Ende-zu-Ende-Verschlüsselung von S/MIME oder OpenPGP zu tun. Es handelt sich lediglich um eine Verschlüsselung zwischen einzelnen Verbindungspunkten auf dem Weg des Datenstroms. An den einzelnen Zwischenstationen des Datenstroms sind Ihre Daten also nicht geschützt, wenn Sie auf S/MIME oder OpenPGP verzichten. Dennoch macht die Verschlüsselung des Datenstroms per SSL bzw. inzwischen TLS zusätzlich Sinn. Es gibt verschiedene Versionen dieses Protokolls, bei denen TLS als Nachfolger bzw. Fortsetzung von SSL mit einem neuen Nummerierungsschema betrachtet werden kann. Die zwischen der Client-Software und dem Server verwendeten Versionen müssen übereinstimmen, daher müssen beide Seiten mindestens eine gemeinsame Version unterstützen.

    Beim Herstellen einer sicheren Verbindung zwischen Client-Software (also Thunderbird) und Server wird zuerst die am höchsten ausgewählte Version (maximal unterstütztes Protokoll) versucht. Wenn die Unterstützung durch den Server nicht angezeigt wird oder der Versuch fehlschlägt, wird die nächstniedrigere Version versucht, bis die niedrigste zulässige Version (minimal erforderliches Protokoll) erreicht ist. Wenn dies ebenfalls fehlschlägt, wird die Verbindung von Thunderbird schließlich mit einer Fehlermeldung verweigert. Leider wird dabei in der Fehlermeldung nicht explizit auf die unpassende TLS-Version hingewiesen.

    2 Minimal-Version und Maximal-Version

    Sowohl security.tls.version.min als auch security.tls.version.max können derzeit zwischen 0 und 4 liegen. Der Bereich wird erweitert, sobald in Zukunft weitere Protokollversionen unterstützt werden. Zusammen geben die beiden Einstellungen den Bereich der unterstützten Protokolle an:

    • security.tls.version.min gibt die minimal erforderliche Protokollversion an (daher die niedrigste Version, auf die zurückgegriffen werden darf, wenn höhere Versionen nicht verfügbar sind).
    • security.tls.version.max gibt die maximal unterstützte Protokollversion an (daher die höchste Version, mit der eine Verbindung hergestellt werden kann, bevor auf niedrigere Versionen zurückgegriffen wird).

    Wenn security.tls.version.min und security.tls.version.max gleich sind, wird nur eine Protokollversion unterstützt. Das Verhalten wäre undefiniert, wenn security.tls.version.min größer als der Wert security.tls.version.max ist, was vermieden werden muss.

    2.1 Mögliche Werte für die Einstellung

    Manche E-Mail-Server unterstützen noch nicht die aktuell minimal empfohlene TLS-Version 1.2. Das Senden und/oder Empfangen von E-Mails kann also unter anderem daran scheitern. Sie können versuchsweise die minimale TLS-Version mit der genannten Einstellung security.tls.version.min auf 2 (und somit TLS-Version 1.1) herabsetzen. Mit Hilfe des Konfig-Editors können Sie die versteckten Einstellungen in Thunderbird bearbeiten.

    Vorsicht

    Ein Herabsetzen der minimalen TLS-Version eröffnet zusätzliche Sicherheitsrisiken bei der Datensicherheit, da ältere TLS-Versionen inzwischen ausgehebelt werden können. Machen Sie die von Ihnen veränderte Einstellung in Thunderbird so bald wie möglich wieder rückgängig!

    Informieren Sie den Postfach-Anbieter, wenn Sie feststellen, dass dessen Server noch nicht die momentan empfohlene TLS-Version 1.2 unterstützt! Das Problem sollte dort behoben werden. Es ist nicht Sinn der Sache, dass Thunderbird bei Ihnen auf Dauer unsichere TLS-Versionen akzeptiert.

    Folgende Werte sind momentan möglich:

    • 0
      SSL 3.0 ist das minimal erforderliche / maximal unterstützte Verschlüsselungsprotokoll.
    • 1
      TLS 1.0 ist das minimal erforderliche / maximal unterstützte Verschlüsselungsprotokoll.
    • 2
      TLS 1.1 ist das minimal erforderliche / maximal unterstützte Verschlüsselungsprotokoll.
    • 3
      TLS 1.2 ist das minimal erforderliche / maximal unterstützte Verschlüsselungsprotokoll. (Dies ist in Thunderbird 78.* die Standardeinstellung für die minimal erforderliche Version.)
    • 4
      TLS 1.3 ist das minimal erforderliche / maximal unterstützte Verschlüsselungsprotokoll. (Dies ist in Thunderbird 78.* die Standardeinstellung für die maximal erlaubte Version.)