Abo
  • Services:
Anzeige
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Akamai: Probleme mit alten SSL-Implementierungen

Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Akamai verarbeitet eine Billiarde an Verbindungen pro Jahr. Brian Sniffen gibt Einblicke, was das bedeutet - und welche Schwierigkeiten darin bestehen, alte SSL-Implementierungen auszusperren.

Anzeige

Brian Sniffen vom Content-Delivery-Network-Anbieter Akamai gab auf der Real World Crypto einige Einblicke in die Arbeit des Konzerns und den Umgang mit verschiedenen Sicherheitslücken im vergangenen Jahr. Die Abschaltung des alten SSL-Protokolls Version 3 brachte einige sehr unerwartete Probleme.

Eine Billiarde Verbindungen

Zunächst erläuterte Sniffen den Zuhörern mit einigen Zahlen, welche Datenmengen Akamai verarbeitet. Das CDN ist für etwa 20 Prozent des Internettraffics verantwortlich, mit 5.000 Standorten, 150.000 Webservern und 15 Billiarden Verbindungen. Sniffens Schlussfolgerung: Wenn ein Problem auch nur einen winzigen Bruchteil der Netzverbindungen betrifft, dann wird man bei Akamai damit konfrontiert.

Sniffen warf anschließend einen Blick auf verschiedene Sicherheitslücken, die im vergangenen Jahr das Netz und insbesondere die verschlüsselten Verbindungen im Netz heimgesucht haben. Bei Heartbleed zeigte sich ein eher ungewöhnliches Problem mit Streaminghardware. Diese arbeite oft mit festen Pre-Shared-Keys und es gäbe oft kein Konzept, wie man diese im laufenden Betrieb austauschen könne. Eine Downtime sei in diesem Bereich aber für viele Kunden praktisch nicht tragbar, man denke etwa an Fernsehsender, die dauerhaft senden.

Zu Poodle sagte Sniffen, dass dies für viele in der IT-Community ein willkommener Anlass gewesen sei, das unbeliebte und problembehaftete SSL-Protokoll 3 endlich aus der Welt zu schaffen. Auch bei Akamai hatte man sich entschlossen, die Unterstützung für SSLv3 zu deaktivieren. Die Verbindungen mit dem alten Protokoll hatten einen Anteil von wenigen Prozent. Auf allen Webseiten, die einen bestimmten Schwellenwert an SSLv3-Verbindungen unterschritten, schaltete Akamai das Protokoll automatisiert ab.

Spielekonsolen und Embedded-Hardware in LKWs

Die Reaktionen darauf waren so unterschiedlich wie unerwartet. Während viele Seitenbetreiber keinerlei Probleme mit der Abschaltung hatten, gab es laut Sniffen eine ganze Reihe von Kunden, die bei Akamai anriefen und um eine Reaktivierung von SSLv3 baten. Darunter befanden sich Angebote, die beispielsweise von alten Spielekonsolen oder von Embedded-Hardware in LKWs abrufbar bleiben sollten. Sniffens Schlussfolgerung: Akamai hatte keine Chance, vorher festzustellen, wo derartige Probleme auftreten. Die schiere Anzahl ungewöhnlicher und exotischer Geräte, die nur das veraltete SSL-Protokoll sprechen, sei eine Herausforderung.

Im Gespräch mit Kunden hörte Sniffen oft die ungewöhnlichsten Begründungen, warum man sich gegen Verbesserungen bei der TLS-Konfiguration sträubt. So habe er von einem Kunden mitgeteilt bekommen, dass ein Audit zwar den Einsatz von TLS erforderte, der Auditor aber nicht gesagt habe, dass es sich um gutes TLS handeln sollte. Andere Kunden hätten ein Problem damit, dass sie Hard- oder Software ohne Supportverträge einsetzen und somit keine Möglichkeit hätten, diese zu aktualisieren. Erstaunlich häufig sei es laut Sniffen, dass Konzerne die Erwartungshaltung hätten, der Vertrag mit Akamai schütze sie davor, mit der eigenen IT-Abteilung in Kontakt treten zu müssen. Schließlich habe man die IT-Sicherheit damit ausgelagert.

Android 2.2 in Indien verbreitet

Der Einsatz des SNI-Protokolls ist trotz verbreiteter Unterstützung für Akamai problematisch. Die SNI-Erweiterung für TLS (Server Name Indication) ermöglicht es, mehrere Zertifikate auf einer einzelnen IP zu betreiben. Alle aktuellen Systeme unterstützen das, aber der Internet Explorer unter Windows XP und Android 2.2 unterstützt SNI nicht. Insbesondere in Indien seien zur Zeit Smartphones mit Android 2.2 noch sehr weit verbreitet. Mit dem Supportende von Windows XP habe sich die Zahl der Verbindungen ohne SNI-Unterstützung deutlich verringert, trotzdem sieht Sniffen auf absehbare Zeit keine Möglichkeit, die Erweiterung breit einzusetzen.

Generell müsse man bedenken, dass Technologien im Netz oft über Jahrzehnte im Einsatz sind. Es gibt viele praktische Probleme, wenn versucht wird, veraltete Protokolle abzuschaffen.


eye home zur Startseite
jokey2k 15. Jan 2015

steht hiermit wohl auf einer Ebene ;-) http://www.unmoralische.de/namen/namen_aerzte.htm

RipClaw 14. Jan 2015

Entweder haben die Angst vor der eigenen IT Abteilung oder aber sie haben massive...



Anzeige

Stellenmarkt
  1. über Baumann Unternehmensberatung AG, Ingolstadt, München, Stuttgart
  2. MICHELFELDER Gruppe über Baumann Unternehmensberatung AG, Raum Schramberg
  3. T-Systems International GmbH, Stuttgart, Leinfelden-Echterdingen
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Top-Angebote
  1. 59,00€
  2. (u. a. PlayStation 4 + Horizon Zero Dawn + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)
  3. (alle Angebote versandkostenfrei, u. a. Yakuza Zero PS4 29€ und NHL 17 PS4/XBO 25€)

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Kenne ich

    RipClaw | 14:33

  2. Re: Nicht realisierbar

    moppi | 14:31

  3. Re: Siri und diktieren

    SanderK | 14:30

  4. Ich weiss wie man das hin bekommt

    moppi | 14:28

  5. Meine Erfahrung als Störungssucher in Luxemburg

    AndyWeibel | 14:26


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel