Abo
  • Services:
Anzeige
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Akamai: Probleme mit alten SSL-Implementierungen

Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Akamai verarbeitet eine Billiarde an Verbindungen pro Jahr. Brian Sniffen gibt Einblicke, was das bedeutet - und welche Schwierigkeiten darin bestehen, alte SSL-Implementierungen auszusperren.

Anzeige

Brian Sniffen vom Content-Delivery-Network-Anbieter Akamai gab auf der Real World Crypto einige Einblicke in die Arbeit des Konzerns und den Umgang mit verschiedenen Sicherheitslücken im vergangenen Jahr. Die Abschaltung des alten SSL-Protokolls Version 3 brachte einige sehr unerwartete Probleme.

Eine Billiarde Verbindungen

Zunächst erläuterte Sniffen den Zuhörern mit einigen Zahlen, welche Datenmengen Akamai verarbeitet. Das CDN ist für etwa 20 Prozent des Internettraffics verantwortlich, mit 5.000 Standorten, 150.000 Webservern und 15 Billiarden Verbindungen. Sniffens Schlussfolgerung: Wenn ein Problem auch nur einen winzigen Bruchteil der Netzverbindungen betrifft, dann wird man bei Akamai damit konfrontiert.

Sniffen warf anschließend einen Blick auf verschiedene Sicherheitslücken, die im vergangenen Jahr das Netz und insbesondere die verschlüsselten Verbindungen im Netz heimgesucht haben. Bei Heartbleed zeigte sich ein eher ungewöhnliches Problem mit Streaminghardware. Diese arbeite oft mit festen Pre-Shared-Keys und es gäbe oft kein Konzept, wie man diese im laufenden Betrieb austauschen könne. Eine Downtime sei in diesem Bereich aber für viele Kunden praktisch nicht tragbar, man denke etwa an Fernsehsender, die dauerhaft senden.

Zu Poodle sagte Sniffen, dass dies für viele in der IT-Community ein willkommener Anlass gewesen sei, das unbeliebte und problembehaftete SSL-Protokoll 3 endlich aus der Welt zu schaffen. Auch bei Akamai hatte man sich entschlossen, die Unterstützung für SSLv3 zu deaktivieren. Die Verbindungen mit dem alten Protokoll hatten einen Anteil von wenigen Prozent. Auf allen Webseiten, die einen bestimmten Schwellenwert an SSLv3-Verbindungen unterschritten, schaltete Akamai das Protokoll automatisiert ab.

Spielekonsolen und Embedded-Hardware in LKWs

Die Reaktionen darauf waren so unterschiedlich wie unerwartet. Während viele Seitenbetreiber keinerlei Probleme mit der Abschaltung hatten, gab es laut Sniffen eine ganze Reihe von Kunden, die bei Akamai anriefen und um eine Reaktivierung von SSLv3 baten. Darunter befanden sich Angebote, die beispielsweise von alten Spielekonsolen oder von Embedded-Hardware in LKWs abrufbar bleiben sollten. Sniffens Schlussfolgerung: Akamai hatte keine Chance, vorher festzustellen, wo derartige Probleme auftreten. Die schiere Anzahl ungewöhnlicher und exotischer Geräte, die nur das veraltete SSL-Protokoll sprechen, sei eine Herausforderung.

Im Gespräch mit Kunden hörte Sniffen oft die ungewöhnlichsten Begründungen, warum man sich gegen Verbesserungen bei der TLS-Konfiguration sträubt. So habe er von einem Kunden mitgeteilt bekommen, dass ein Audit zwar den Einsatz von TLS erforderte, der Auditor aber nicht gesagt habe, dass es sich um gutes TLS handeln sollte. Andere Kunden hätten ein Problem damit, dass sie Hard- oder Software ohne Supportverträge einsetzen und somit keine Möglichkeit hätten, diese zu aktualisieren. Erstaunlich häufig sei es laut Sniffen, dass Konzerne die Erwartungshaltung hätten, der Vertrag mit Akamai schütze sie davor, mit der eigenen IT-Abteilung in Kontakt treten zu müssen. Schließlich habe man die IT-Sicherheit damit ausgelagert.

Android 2.2 in Indien verbreitet

Der Einsatz des SNI-Protokolls ist trotz verbreiteter Unterstützung für Akamai problematisch. Die SNI-Erweiterung für TLS (Server Name Indication) ermöglicht es, mehrere Zertifikate auf einer einzelnen IP zu betreiben. Alle aktuellen Systeme unterstützen das, aber der Internet Explorer unter Windows XP und Android 2.2 unterstützt SNI nicht. Insbesondere in Indien seien zur Zeit Smartphones mit Android 2.2 noch sehr weit verbreitet. Mit dem Supportende von Windows XP habe sich die Zahl der Verbindungen ohne SNI-Unterstützung deutlich verringert, trotzdem sieht Sniffen auf absehbare Zeit keine Möglichkeit, die Erweiterung breit einzusetzen.

Generell müsse man bedenken, dass Technologien im Netz oft über Jahrzehnte im Einsatz sind. Es gibt viele praktische Probleme, wenn versucht wird, veraltete Protokolle abzuschaffen.


eye home zur Startseite
jokey2k 15. Jan 2015

steht hiermit wohl auf einer Ebene ;-) http://www.unmoralische.de/namen/namen_aerzte.htm

RipClaw 14. Jan 2015

Entweder haben die Angst vor der eigenen IT Abteilung oder aber sie haben massive...



Anzeige

Stellenmarkt
  1. Computacenter AG & Co. oHG, Berlin, Frankfurt, Ratingen, Stuttgart, München
  2. über Hanseatisches Personalkontor Mannheim, Mannheim
  3. ROHDE & SCHWARZ SIT GmbH, Stuttgart
  4. Bundesdruckerei GmbH, Berlin


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. (täglich neue Deals)
  3. 444,00€ + 4,99€ Versand

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: Arbeitsspeicher aufrüstbar?

    ChristianKG | 01:38

  2. Re: Far Cry 5 wird wohl der Grund sein

    RickRickdiculou... | 01:36

  3. Re: Ähnliches auch damals bei LCDs mit LED-Backlight

    Apfelbrot | 01:01

  4. Re: Unity ist auch eine vergleichsweise gute Engine

    GenXRoad | 00:59

  5. Re: Marketing scheint bei Unity ein besonders...

    Mithrandir | 00:54


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel