• IT-Karriere:
  • Services:

Akamai: Probleme mit alten SSL-Implementierungen

Akamai verarbeitet eine Billiarde an Verbindungen pro Jahr. Brian Sniffen gibt Einblicke, was das bedeutet - und welche Schwierigkeiten darin bestehen, alte SSL-Implementierungen auszusperren.

Artikel veröffentlicht am , Hanno Böck
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Brian Sniffen vom Content-Delivery-Network-Anbieter Akamai gab auf der Real World Crypto einige Einblicke in die Arbeit des Konzerns und den Umgang mit verschiedenen Sicherheitslücken im vergangenen Jahr. Die Abschaltung des alten SSL-Protokolls Version 3 brachte einige sehr unerwartete Probleme.

Eine Billiarde Verbindungen

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Münster
  2. über KISSLING Personalberatung GmbH, Großraum Balingen

Zunächst erläuterte Sniffen den Zuhörern mit einigen Zahlen, welche Datenmengen Akamai verarbeitet. Das CDN ist für etwa 20 Prozent des Internettraffics verantwortlich, mit 5.000 Standorten, 150.000 Webservern und 15 Billiarden Verbindungen. Sniffens Schlussfolgerung: Wenn ein Problem auch nur einen winzigen Bruchteil der Netzverbindungen betrifft, dann wird man bei Akamai damit konfrontiert.

Sniffen warf anschließend einen Blick auf verschiedene Sicherheitslücken, die im vergangenen Jahr das Netz und insbesondere die verschlüsselten Verbindungen im Netz heimgesucht haben. Bei Heartbleed zeigte sich ein eher ungewöhnliches Problem mit Streaminghardware. Diese arbeite oft mit festen Pre-Shared-Keys und es gäbe oft kein Konzept, wie man diese im laufenden Betrieb austauschen könne. Eine Downtime sei in diesem Bereich aber für viele Kunden praktisch nicht tragbar, man denke etwa an Fernsehsender, die dauerhaft senden.

Zu Poodle sagte Sniffen, dass dies für viele in der IT-Community ein willkommener Anlass gewesen sei, das unbeliebte und problembehaftete SSL-Protokoll 3 endlich aus der Welt zu schaffen. Auch bei Akamai hatte man sich entschlossen, die Unterstützung für SSLv3 zu deaktivieren. Die Verbindungen mit dem alten Protokoll hatten einen Anteil von wenigen Prozent. Auf allen Webseiten, die einen bestimmten Schwellenwert an SSLv3-Verbindungen unterschritten, schaltete Akamai das Protokoll automatisiert ab.

Spielekonsolen und Embedded-Hardware in LKWs

Die Reaktionen darauf waren so unterschiedlich wie unerwartet. Während viele Seitenbetreiber keinerlei Probleme mit der Abschaltung hatten, gab es laut Sniffen eine ganze Reihe von Kunden, die bei Akamai anriefen und um eine Reaktivierung von SSLv3 baten. Darunter befanden sich Angebote, die beispielsweise von alten Spielekonsolen oder von Embedded-Hardware in LKWs abrufbar bleiben sollten. Sniffens Schlussfolgerung: Akamai hatte keine Chance, vorher festzustellen, wo derartige Probleme auftreten. Die schiere Anzahl ungewöhnlicher und exotischer Geräte, die nur das veraltete SSL-Protokoll sprechen, sei eine Herausforderung.

Im Gespräch mit Kunden hörte Sniffen oft die ungewöhnlichsten Begründungen, warum man sich gegen Verbesserungen bei der TLS-Konfiguration sträubt. So habe er von einem Kunden mitgeteilt bekommen, dass ein Audit zwar den Einsatz von TLS erforderte, der Auditor aber nicht gesagt habe, dass es sich um gutes TLS handeln sollte. Andere Kunden hätten ein Problem damit, dass sie Hard- oder Software ohne Supportverträge einsetzen und somit keine Möglichkeit hätten, diese zu aktualisieren. Erstaunlich häufig sei es laut Sniffen, dass Konzerne die Erwartungshaltung hätten, der Vertrag mit Akamai schütze sie davor, mit der eigenen IT-Abteilung in Kontakt treten zu müssen. Schließlich habe man die IT-Sicherheit damit ausgelagert.

Android 2.2 in Indien verbreitet

Der Einsatz des SNI-Protokolls ist trotz verbreiteter Unterstützung für Akamai problematisch. Die SNI-Erweiterung für TLS (Server Name Indication) ermöglicht es, mehrere Zertifikate auf einer einzelnen IP zu betreiben. Alle aktuellen Systeme unterstützen das, aber der Internet Explorer unter Windows XP und Android 2.2 unterstützt SNI nicht. Insbesondere in Indien seien zur Zeit Smartphones mit Android 2.2 noch sehr weit verbreitet. Mit dem Supportende von Windows XP habe sich die Zahl der Verbindungen ohne SNI-Unterstützung deutlich verringert, trotzdem sieht Sniffen auf absehbare Zeit keine Möglichkeit, die Erweiterung breit einzusetzen.

Generell müsse man bedenken, dass Technologien im Netz oft über Jahrzehnte im Einsatz sind. Es gibt viele praktische Probleme, wenn versucht wird, veraltete Protokolle abzuschaffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 96,51€

jokey2k 15. Jan 2015

steht hiermit wohl auf einer Ebene ;-) http://www.unmoralische.de/namen/namen_aerzte.htm

RipClaw 14. Jan 2015

Entweder haben die Angst vor der eigenen IT Abteilung oder aber sie haben massive...


Folgen Sie uns
       


Gesichtertausch für Videokonferenzen mit Avatarify - Tutorial

Wir erklären, wie sich das eigene Gesicht durch ein beliebiges animiertes Foto ersetzen lässt.

Gesichtertausch für Videokonferenzen mit Avatarify - Tutorial Video aufrufen
Arlt-Komplett-PC ausprobiert: Mit Ryzen Pro wird der Büro-PC sparsam und flott
Arlt-Komplett-PC ausprobiert
Mit Ryzen Pro wird der Büro-PC sparsam und flott

Acht Kerne, schnelle integrierte Grafik, NVMe-SSD direkt an der CPU: Ein mit Ryzen Pro 4000G ausgestatteter Rechner ist vielseitig.
Ein Hands-on von Marc Sauter

  1. Udoo Bolt Gear Mini-PC stopft Ryzen-CPU in 13 x 13 Zentimeter
  2. Vermeer AMD soll Ryzen 4000 mit 5 nm statt 7 nm produzieren
  3. Vermeer AMD unterstützt Ryzen 4000 auf X470 und B450

Campus Networks: Wenn das 5G-Netz nicht jeden reinlässt
Campus Networks
Wenn das 5G-Netz nicht jeden reinlässt

Über private 4G- und 5G-Netze gibt es meist nur Buzzwords. Wir wollten von einer Telekom-Expertin wissen, was die Campusnetze wirklich können und was noch nicht.
Von Achim Sawall

  1. Funkstrahlung Bürgermeister in Oberbayern greifen 5G der Telekom an
  2. IRT Öffentlich-rechtlicher Rundfunk schließt Forschungszentrum
  3. Deutsche Telekom 5G im UMTS-Spektrum für die Hälfte der Bevölkerung

Funkverschmutzung: Wer stört hier?
Funkverschmutzung
Wer stört hier?

Ob WLAN, Bluetooth, IoT oder Radioteleskope - vor allem in den unlizenzierten Frequenzbändern funken immer mehr elektronische Geräte. Die Folge können Störungen und eine schlechtere Performance der Geräte sein.
Ein Bericht von Jan Rähm

  1. 450 MHz Bundesnetzagentur legt sich bei neuer Frequenzvergabe fest
  2. Aus Kostengründen Tschechien schafft alle Telefonzellen ab
  3. Telekom Bis Jahresende verschwinden ISDN und analoges Festnetz

    •  /