Um sicherzustellen, dass unsere Service- und Softwareangebote so sicher wie möglich sind und bleiben, aktualisieren wir kontinuierlich die verwendeten Sicherheitsstandards und -protokolle.

Anwender, die ihre Clientsysteme und Konfigurationen, die SaaS-Angebote wie ArcGIS Online nutzen, nicht auf dem neuesten Stand halten, müssen mit Störungen rechnen.
Im Laufe des Jahres 2019 werden einige wichtige Neuerungen vorgenommen. Sie sollten sich so früh wie möglich darüber informieren und falls notwendig darauf vorbereiten.

Februar 2019 – ArcGIS Online, Entfernung von TLS 1.0 und TLS 1.1

ArcGIS Online unterstützt derzeit TLS in den Versionen 1.0, 1.1 und 1.2. Ab Februar 2019 wird nur noch TLS 1.2 für Clients verfügbar sein. Die älteren Protokollversionen wurden vor über einem Jahrzehnt veröffentlicht und seit ihrer Veröffentlichung wurden viele Verbesserungen vorgenommen. Deshalb gilt TLS 1.2 heute als die sicherste und zuverlässigste Methode zur Bereitstellung verschlüsselter Inhalte über das Internet.

Darüber hinaus erfordern der PCI Data Security Standard (PCI DSS) und FedRAMP die Deaktivierung von SSL/TLS 1.0-Implementierungen. TLS 1.1 wird von PCI und FedRAMP weiterhin akzeptiert, auch wenn sie TLS 1.2 empfehlen.

Das Bundesamt für Sicherheit in der Informationstechnik definiert TLS 1.2 als Mindeststandard.

Aufgrund von Sicherheitsbedenken bei TLS 1.0 und TLS 1.1 sowie den Empfehlungen mehrerer Normungsorganisationen wird die Unterstützung der alten TLS-Versionen auslaufen.

Die meisten Nutzer, die auf ArcGIS Online über einen Browser zugreifen, müssen keine Maßnahmen ergreifen, da TLS 1.2 mit allen gängigen Browserversionen kompatibel ist.

Einige ArcGIS Online Clients, wie ArcGIS Pro, sind bereits TLS 1.2-fähig. Esri Software bei der möglicherweise Maßnahmen erforderlich sind, umfassen ArcGIS Desktop und Anwendungen, die ArcGIS Desktop oder ArcGIS Enterprise erweitern. Auch Anwendungen, die mit ArcGIS Engine (bzw. ArcObjects) erstellt wurden, und Extensions von Partners, die auf ArcGIS Online Services zugreifen, sollten überprüft werden.

Auf der Seite Esri TLS Support finden Sie weitere Informationen und Maßnahmen, die Sie möglicherweise vor diesem Update im Februar 2019 ergreifen müssen.

ArcGIS Enterprise 10.7 – TLS 1.0, 1.1 und HTTP standardmäßig deaktiviert

Um durch Standard-Installationen die Sicherheit zu fördern, wird für die kommende Version von ArcGIS Enterprise (10.7) nur HTTPS mit TLS 1.2 aktiviert. ArcGIS Enterprise 10.7 wird voraussichtlich im März 2019 erscheinen.

Hinweis: ArcGIS Enterprise 10.6.1 (die aktuelle Version) deaktiviert standardmäßig TLS 1.0; frühere Versionen von ArcGIS Enterprise verwenden standardmäßig TLS 1.0, 1.1, 1.2, HTTP und HTTPS.

Beachten Sie, dass bei einem Upgrade von einer früheren ArcGIS Enterprise-Version HTTP, TLS 1.0 oder 1.1 nicht deaktiviert werden, um Störungen Ihres Betriebs zu minimieren.

Kunden, die ein Update durchführen, können ihre ArcGIS Enterprise Installation so konfigurieren, dass sie nur HTTPS und TLS 1.2 verwendet, wie in der Online-Hilfe dokumentiert.

Juni 2019 – Deaktivierung von HTTP bei ArcGIS Online und Erzwingung von HSTS

ArcGIS Online hatte schon immer eine optionale Einstellung, die es Unternehmen ermöglicht, die gesamte Kommunikation mit ihren von ArcGIS Online gehosteten Diensten über HTTPS zu erzwingen. Darüber hinaus unterstützt ArcGIS Online die HTTPS-basierte Kommunikation mit allen Shared Services wie Geocoding, Routing und Grundkarten.

Hinweis: ArcGIS Online Unternehmen, die nach dem Release im September 2018 erstellt wurden, können nur noch über HTTPS kommunizieren.

HTTP Strict Transport Security (HSTS) ist eine Sicherheitserweiterung, die von Webanwendungen durch die Verwendung eines speziellen Response-Headers spezifiziert wird. Sobald ein unterstützter Browser diesen Header erhält, verhindert der Browser, dass eine Kommunikation über HTTP an die angegebene Domäne erfolgt. Dieses Ziel wird erreicht, indem alle Klartextlinks automatisch in sichere umgewandelt werden. Als Bonus deaktiviert es auch Click-Through-Zertifikatswarnungen.

2017 haben wir HSTS transparent für alle ArcGIS Online Organisationen, die für ihre Organisation nur noch die Kommunikation per HTTPS zulassen, aktiviert. Das bedeutet, dass alle Kundendaten den zusätzlichen Schutz erhalten, den HSTS standardmäßig bietet.

Unternehmen, die Sicherheitstests (wie SSLLabs) gegen ihre ArcGIS Online Organisations-URL durchführen, werden wahrscheinlich immer noch Ergebnisse erhalten, die anzeigen, dass HSTS nicht aktiviert ist. Dies geschieht, weil alle ArcGIS Online Organisationen auf einen gemeinsamen Satz von statischen Dateien zugreifen. Der Zugriff erfolgt sowohl per HTTP als auch via HTTPS. Der Zugriff auf die statischen Dateien (nicht auf die Kundendaten innerhalb der ArcGIS Online Organisation) führt dazu, dass Tests für HSTS fehlschlagen.

Ihre eigenen Daten sind also per HSTS geschützt, was Sie auch mit Tools wie Fiddler überprüfen können.
Dieses Problem wird verschwinden, wenn wir alle Kunden auf HTTPS umstellen und damit auch der Zugriff auf statische Daten nur noch per HTTPS erfolgt.

Was sonst noch geplant ist

TLS 1.3 – Der neue Protokollstandard wurde im August 2018 fertiggestellt und ist daher bei Anbietern von Cloud-Infrastrukturen oder über Browser noch nicht allzu weit verbreitet. Wir werden TLS 1.3 weiterhin für die künftige Integration in ArcGIS Online überwachen und haben bereits damit begonnen, TLS 1.3 kompatible Verschlüsselungsmodule in einige Produkte zu integrieren.

HSTS Preload List – Sobald nur noch HTTPS mit HSTS verfügbar ist, werden wir die ArcGIS Online Domain zunächst nicht der HSTS Preload List hinzufügen. Aber wir werden das für die Zukunft in Erwägung ziehen, um eine angemessene Verfügbarkeit und Stabilität unseres Angebots sicherzustellen.

Zusammenfassung

Zeitplan:

  • Februar 2019: ArcGIS Online Dienste nur noch mit TLS 1.2 Verschlüsselung
  • März 2019 (voraussichtlich): Standardeinstellung für ArcGIS Enterprise 10.7 ist HTTPS und TLS 1.2
  • Juni 2019: Nur noch HTTPS und HSTS bei ArcGIS Online. Kein HTTP mehr

Wichtige Links: