Diese Seite dokumentiert die TLS-Standardeinstellungen von OpenJDK 21 und ihre Auswirkungen auf Verbindungen zu Datenbanken und Drittsystemen. Lesen Sie diesen Artikel, wenn Sie im Rahmen des Java-Upgrades prüfen möchten, ob Ihre Gegenstellen TLS 1.2 oder höher unterstützen.
Hinweis
OpenJDK 21 deaktiviert TLS 1.0 und TLS 1.1 standardmäßig. Verbindungen zu Systemen, die ausschließlich ältere TLS-Versionen unterstützen, schlagen nach dem Upgrade ohne zusätzliche Konfiguration fehl. Systeme, die bereits TLS 1.2 oder TLS 1.3 unterstützen, sind nicht betroffen.
TLS-Standardeinstellungen unter OpenJDK 21
Protokoll | Status | Hinweis |
|---|---|---|
TLS 1.3 | Aktiviert | Empfohlen. Bietet verbesserte Sicherheit und Performance. |
TLS 1.2 | Aktiviert | Kompatibel mit den meisten aktuellen Systemen. |
TLS 1.1 | Deaktiviert | Das Protokoll kann explizit reaktiviert werden. Nicht empfohlen. |
TLS 1.0 | Deaktiviert | Das Protokoll kann explizit reaktiviert werden. Gilt als unsicher. |
Die aktivierten Protokolle und Cipher-Suites entsprechen den aktuellen Java-Defaults von OpenJDK 21 und können nur durch explizite Konfiguration überschrieben werden.
Betroffene Systemtypen
Systemtyp | Typische Ursache | Empfohlene Maßnahme |
|---|---|---|
Ältere Datenbanken | Unterstützen nur TLS 1.0 oder TLS 1.1 | Datenbankversion aktualisieren |
Ältere Infrastrukturkomponenten | Unterstützen nur TLS 1.0 oder TLS 1.1 | Infrastruktur aktualisieren |
Externe Drittsysteme | Noch nicht auf TLS 1.2+ aktualisiert | Betreiber des Drittsystems kontaktieren |
Sicherheitsstatus der Protokolle
Protokoll | Sicherheitsstatus | Empfehlung |
|---|---|---|
TLS 1.3 | Sicher | Bevorzugt verwenden |
TLS 1.2 | Sicher | Akzeptabel |
TLS 1.1 | Unsicher | Nicht mehr verwenden |
TLS 1.0 | Unsicher | Nicht mehr verwenden |
Konfigurationsoptionen
Gegenstellen aktualisieren (empfohlen)
Aktualisieren Sie betroffene Systeme auf TLS 1.2 oder TLS 1.3. Dies ist der einzig dauerhaft sichere Weg.
Hinweis
Aktuelle Versionen der JSSE (Java Secure Socket Extension) beheben Probleme bei der TLS 1.3-Client-Zertifikatsauswahl, die bei älteren Authentifizierungslogiken auftreten können.
Ältere TLS-Versionen temporär reaktivieren
OpenJDK 21 lässt sich so konfigurieren, dass TLS 1.0 oder TLS 1.1 zugelassen werden. Dies schwächt die Transportverschlüsselung und setzt die Umgebung bekannten Sicherheitsrisiken aus und ist ausschließlich als kurzfristige Übergangslösung zulässig. Betroffene Gegenstellen sind deshalb zeitnah zu aktualisieren.
Zurück zur Übersicht: Überblick zum Java-Upgrade