Abo
  • Services:
Anzeige
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Akamai: Probleme mit alten SSL-Implementierungen

Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Akamai verarbeitet eine Billiarde an Verbindungen pro Jahr. Brian Sniffen gibt Einblicke, was das bedeutet - und welche Schwierigkeiten darin bestehen, alte SSL-Implementierungen auszusperren.

Anzeige

Brian Sniffen vom Content-Delivery-Network-Anbieter Akamai gab auf der Real World Crypto einige Einblicke in die Arbeit des Konzerns und den Umgang mit verschiedenen Sicherheitslücken im vergangenen Jahr. Die Abschaltung des alten SSL-Protokolls Version 3 brachte einige sehr unerwartete Probleme.

Eine Billiarde Verbindungen

Zunächst erläuterte Sniffen den Zuhörern mit einigen Zahlen, welche Datenmengen Akamai verarbeitet. Das CDN ist für etwa 20 Prozent des Internettraffics verantwortlich, mit 5.000 Standorten, 150.000 Webservern und 15 Billiarden Verbindungen. Sniffens Schlussfolgerung: Wenn ein Problem auch nur einen winzigen Bruchteil der Netzverbindungen betrifft, dann wird man bei Akamai damit konfrontiert.

Sniffen warf anschließend einen Blick auf verschiedene Sicherheitslücken, die im vergangenen Jahr das Netz und insbesondere die verschlüsselten Verbindungen im Netz heimgesucht haben. Bei Heartbleed zeigte sich ein eher ungewöhnliches Problem mit Streaminghardware. Diese arbeite oft mit festen Pre-Shared-Keys und es gäbe oft kein Konzept, wie man diese im laufenden Betrieb austauschen könne. Eine Downtime sei in diesem Bereich aber für viele Kunden praktisch nicht tragbar, man denke etwa an Fernsehsender, die dauerhaft senden.

Zu Poodle sagte Sniffen, dass dies für viele in der IT-Community ein willkommener Anlass gewesen sei, das unbeliebte und problembehaftete SSL-Protokoll 3 endlich aus der Welt zu schaffen. Auch bei Akamai hatte man sich entschlossen, die Unterstützung für SSLv3 zu deaktivieren. Die Verbindungen mit dem alten Protokoll hatten einen Anteil von wenigen Prozent. Auf allen Webseiten, die einen bestimmten Schwellenwert an SSLv3-Verbindungen unterschritten, schaltete Akamai das Protokoll automatisiert ab.

Spielekonsolen und Embedded-Hardware in LKWs

Die Reaktionen darauf waren so unterschiedlich wie unerwartet. Während viele Seitenbetreiber keinerlei Probleme mit der Abschaltung hatten, gab es laut Sniffen eine ganze Reihe von Kunden, die bei Akamai anriefen und um eine Reaktivierung von SSLv3 baten. Darunter befanden sich Angebote, die beispielsweise von alten Spielekonsolen oder von Embedded-Hardware in LKWs abrufbar bleiben sollten. Sniffens Schlussfolgerung: Akamai hatte keine Chance, vorher festzustellen, wo derartige Probleme auftreten. Die schiere Anzahl ungewöhnlicher und exotischer Geräte, die nur das veraltete SSL-Protokoll sprechen, sei eine Herausforderung.

Im Gespräch mit Kunden hörte Sniffen oft die ungewöhnlichsten Begründungen, warum man sich gegen Verbesserungen bei der TLS-Konfiguration sträubt. So habe er von einem Kunden mitgeteilt bekommen, dass ein Audit zwar den Einsatz von TLS erforderte, der Auditor aber nicht gesagt habe, dass es sich um gutes TLS handeln sollte. Andere Kunden hätten ein Problem damit, dass sie Hard- oder Software ohne Supportverträge einsetzen und somit keine Möglichkeit hätten, diese zu aktualisieren. Erstaunlich häufig sei es laut Sniffen, dass Konzerne die Erwartungshaltung hätten, der Vertrag mit Akamai schütze sie davor, mit der eigenen IT-Abteilung in Kontakt treten zu müssen. Schließlich habe man die IT-Sicherheit damit ausgelagert.

Android 2.2 in Indien verbreitet

Der Einsatz des SNI-Protokolls ist trotz verbreiteter Unterstützung für Akamai problematisch. Die SNI-Erweiterung für TLS (Server Name Indication) ermöglicht es, mehrere Zertifikate auf einer einzelnen IP zu betreiben. Alle aktuellen Systeme unterstützen das, aber der Internet Explorer unter Windows XP und Android 2.2 unterstützt SNI nicht. Insbesondere in Indien seien zur Zeit Smartphones mit Android 2.2 noch sehr weit verbreitet. Mit dem Supportende von Windows XP habe sich die Zahl der Verbindungen ohne SNI-Unterstützung deutlich verringert, trotzdem sieht Sniffen auf absehbare Zeit keine Möglichkeit, die Erweiterung breit einzusetzen.

Generell müsse man bedenken, dass Technologien im Netz oft über Jahrzehnte im Einsatz sind. Es gibt viele praktische Probleme, wenn versucht wird, veraltete Protokolle abzuschaffen.


eye home zur Startseite
jokey2k 15. Jan 2015

steht hiermit wohl auf einer Ebene ;-) http://www.unmoralische.de/namen/namen_aerzte.htm

RipClaw 14. Jan 2015

Entweder haben die Angst vor der eigenen IT Abteilung oder aber sie haben massive...



Anzeige

Stellenmarkt
  1. LEITWERK AG, Appenweier, Freiburg oder Karlsruhe
  2. Deutsche Telekom AG, Darmstadt
  3. Cpro Industry Projects & Solutions GmbH, verschiedene Einsatzorte
  4. über Robert Half Technology, Göppingen


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 349,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App

Osmo Mobile im Test: Hollywood fürs Smartphone
Osmo Mobile im Test
Hollywood fürs Smartphone
  1. Osmo Mobile DJI präsentiert Gimbal fürs Smartphone
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab
  3. DJI Flugverbotszonen in Drohnensoftware lassen sich ausschalten

  1. Re: [Hier Beleidigung einfügen]

    stiGGG | 01:36

  2. Re: Ja und???

    emuuu | 01:17

  3. Re: Performance auf alten Rechner

    Eierspeise | 00:55

  4. Re: "Und geschockt, was neue Dateifunktionen auf...

    FreiGeistler | 00:15

  5. Re: macOS ist fertig

    FreiGeistler | 00:04


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel