Abo
  • Services:

Akamai: Probleme mit alten SSL-Implementierungen

Akamai verarbeitet eine Billiarde an Verbindungen pro Jahr. Brian Sniffen gibt Einblicke, was das bedeutet - und welche Schwierigkeiten darin bestehen, alte SSL-Implementierungen auszusperren.

Artikel veröffentlicht am , Hanno Böck
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai
Erfahrungen mit verschlüsselten Verbindungen in großem Maßstab bei Akamai (Bild: Akamai)

Brian Sniffen vom Content-Delivery-Network-Anbieter Akamai gab auf der Real World Crypto einige Einblicke in die Arbeit des Konzerns und den Umgang mit verschiedenen Sicherheitslücken im vergangenen Jahr. Die Abschaltung des alten SSL-Protokolls Version 3 brachte einige sehr unerwartete Probleme.

Eine Billiarde Verbindungen

Stellenmarkt
  1. BWI GmbH, Bonn, Wilhelmshaven, München
  2. Hydro Aluminium Rolled Products GmbH, Grevenbroich

Zunächst erläuterte Sniffen den Zuhörern mit einigen Zahlen, welche Datenmengen Akamai verarbeitet. Das CDN ist für etwa 20 Prozent des Internettraffics verantwortlich, mit 5.000 Standorten, 150.000 Webservern und 15 Billiarden Verbindungen. Sniffens Schlussfolgerung: Wenn ein Problem auch nur einen winzigen Bruchteil der Netzverbindungen betrifft, dann wird man bei Akamai damit konfrontiert.

Sniffen warf anschließend einen Blick auf verschiedene Sicherheitslücken, die im vergangenen Jahr das Netz und insbesondere die verschlüsselten Verbindungen im Netz heimgesucht haben. Bei Heartbleed zeigte sich ein eher ungewöhnliches Problem mit Streaminghardware. Diese arbeite oft mit festen Pre-Shared-Keys und es gäbe oft kein Konzept, wie man diese im laufenden Betrieb austauschen könne. Eine Downtime sei in diesem Bereich aber für viele Kunden praktisch nicht tragbar, man denke etwa an Fernsehsender, die dauerhaft senden.

Zu Poodle sagte Sniffen, dass dies für viele in der IT-Community ein willkommener Anlass gewesen sei, das unbeliebte und problembehaftete SSL-Protokoll 3 endlich aus der Welt zu schaffen. Auch bei Akamai hatte man sich entschlossen, die Unterstützung für SSLv3 zu deaktivieren. Die Verbindungen mit dem alten Protokoll hatten einen Anteil von wenigen Prozent. Auf allen Webseiten, die einen bestimmten Schwellenwert an SSLv3-Verbindungen unterschritten, schaltete Akamai das Protokoll automatisiert ab.

Spielekonsolen und Embedded-Hardware in LKWs

Die Reaktionen darauf waren so unterschiedlich wie unerwartet. Während viele Seitenbetreiber keinerlei Probleme mit der Abschaltung hatten, gab es laut Sniffen eine ganze Reihe von Kunden, die bei Akamai anriefen und um eine Reaktivierung von SSLv3 baten. Darunter befanden sich Angebote, die beispielsweise von alten Spielekonsolen oder von Embedded-Hardware in LKWs abrufbar bleiben sollten. Sniffens Schlussfolgerung: Akamai hatte keine Chance, vorher festzustellen, wo derartige Probleme auftreten. Die schiere Anzahl ungewöhnlicher und exotischer Geräte, die nur das veraltete SSL-Protokoll sprechen, sei eine Herausforderung.

Im Gespräch mit Kunden hörte Sniffen oft die ungewöhnlichsten Begründungen, warum man sich gegen Verbesserungen bei der TLS-Konfiguration sträubt. So habe er von einem Kunden mitgeteilt bekommen, dass ein Audit zwar den Einsatz von TLS erforderte, der Auditor aber nicht gesagt habe, dass es sich um gutes TLS handeln sollte. Andere Kunden hätten ein Problem damit, dass sie Hard- oder Software ohne Supportverträge einsetzen und somit keine Möglichkeit hätten, diese zu aktualisieren. Erstaunlich häufig sei es laut Sniffen, dass Konzerne die Erwartungshaltung hätten, der Vertrag mit Akamai schütze sie davor, mit der eigenen IT-Abteilung in Kontakt treten zu müssen. Schließlich habe man die IT-Sicherheit damit ausgelagert.

Android 2.2 in Indien verbreitet

Der Einsatz des SNI-Protokolls ist trotz verbreiteter Unterstützung für Akamai problematisch. Die SNI-Erweiterung für TLS (Server Name Indication) ermöglicht es, mehrere Zertifikate auf einer einzelnen IP zu betreiben. Alle aktuellen Systeme unterstützen das, aber der Internet Explorer unter Windows XP und Android 2.2 unterstützt SNI nicht. Insbesondere in Indien seien zur Zeit Smartphones mit Android 2.2 noch sehr weit verbreitet. Mit dem Supportende von Windows XP habe sich die Zahl der Verbindungen ohne SNI-Unterstützung deutlich verringert, trotzdem sieht Sniffen auf absehbare Zeit keine Möglichkeit, die Erweiterung breit einzusetzen.

Generell müsse man bedenken, dass Technologien im Netz oft über Jahrzehnte im Einsatz sind. Es gibt viele praktische Probleme, wenn versucht wird, veraltete Protokolle abzuschaffen.



Anzeige
Top-Angebote
  1. (heute u. a. Dual DT 210 Plattenspieler 77,00€ statt 111,99€)
  2. (heute u. a. Beyerdynamic DTX 910 Kopfhörer, NZXT H700i Gehäuse, HP Notebook)
  3. (u. a. Canon EOS 2000D + Objektiv 18-55 mm für 299€ statt 394€ im Vergleich)
  4. ab 119,99€

jokey2k 15. Jan 2015

steht hiermit wohl auf einer Ebene ;-) http://www.unmoralische.de/namen/namen_aerzte.htm

RipClaw 14. Jan 2015

Entweder haben die Angst vor der eigenen IT Abteilung oder aber sie haben massive...


Folgen Sie uns
       


Amazons Kindle Paperwhite (2018) - Hands on

Amazons neue Version des Kindle Paperwhite steckt in einem wasserdichten Gehäuse. Außerdem unterstützt der E-Book-Reader Audible-Hörbücher und hat mehr Speicher bekommen. Das neue Modell ist zum Preis von 120 Euro zu haben.

Amazons Kindle Paperwhite (2018) - Hands on Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

    •  /