Das ging dann so weiter:
Ich schrieb dem BSI
Das BSI schrieb, sie haben die Telekom informiert und es wird gepatcht.
Habe festgestellt, dass auch 1u1 und die epost betroffen sind und schrieb dem BSI.
Das BSI schrieb, dass man als Nutzer selbst dran schuld ist, wenn man einen Browser hat, der RC4 auswählt, man aber allen De Mail Anbietern nochmal bescheid sagen will.
"Es handelt sich bei den Cipher-Suiten um Optionen, die der Server dem Client anbietet. D.h. der vom Nutzer eingesetzte Browser muss diese Cipher-Suite auswählen. Die bevorzugte Cipher-Suite (aus Sicht des Servers) bei den Systemen der Telekom ist "TLSv1 256bits AES256-SHA" und bei 1&1 "TLSv1 ECDHE-RSA-AES128-SHA". Eine gewisse Verantwortung liegt hier auch bei dem Nutze. Denn nur, wenn der Client des Nutzers diese schwache Cipher-Suite mit RC4 auswählt, kommt diese auch zum Einsatz." (De-Mail Team, Rechtschreibfehler so im Original)
Ich schrieb, dass die Geld dafür nehmen und eine als sicher beworbene Dienstleistung verkaufen und man dann auch erwarten kann, dass der Anbieter sein mögliches macht, das System zu sichern, zumal es in einer Richtlinie von denen explizit drinnensteht, dass man kein RC4 mehr zu verwenden hat.
Bei den De-Mailanbietern war dann RC4 verschwunden (bei 1u1 bin ich mir gerade nicht 100% sicher), bei der epost müsste es das noch geben. Die Telekom hat aber recht vernünftige Algorithmen danach aktiviert.
Von der epost kommt da auch bloß zurück, dass deren Spezialexperten sich bewusst dafür entschieden haben und beobachten wie groß die Verbreitung ist:
„Der geschilderte Sachverhalt ist zutreffend: Das E-POST Portal ermöglicht derzeit noch Verbindungen auf Basis von RC4. Dies dient der Unterstützung von Browsern, die noch kein TLS 1.2 nutzen. Um gegen BEAST-Angriffe zu schützen haben unsere Experten die Verwendung von RC4 für TLS 1.0 und 1.1 ausgewählt. RC4 bietet gegenüber der Verwendung von Block-Ciphern im CBC-Modus (TLS 1.0 und 1.1 unterstützen keine anderen Modi) einen besseren Schutz.
Der Browser gibt beim Verbindungsaufbau die TLS-Version vor. Aktuelle Browser verwenden automatisch TLS 1.2. Ein TLS-Downgrading wird serverseitig verhindert. Somit ist sichergestellt, dass immer das höchstmögliche Sicherheitsniveau für HTTPS-Verbindungen genutzt wird.
Wir führen kontinuierliche Auswertungen über die eingesetzten Ciphersuites durch und passen unsere serverseitige Ciphersuite-Konfiguration entsprechend an. Das Nutzerverhalten in Bezug auf die eingesetzten Browser muss für die Umsetzung des RFC 7465 aber berücksichtigt werden."