Abo
  • Services:
Anzeige
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

Fehlerhafte Bluecoat-Geräte haben dafür gesorgt, dass die Entwickler von Chrome die Nutzung von TLS 1.3 kurzfristig wieder abschalten mussten. Laut einem Bericht im Bugtracker von Chrome traten Verbindungsfehler bei Verbindungen zu Googles eigenen Servern auf. Der Vorfall ist insofern besonders bemerkenswert, als beim Design von TLS 1.3 eigentlich explizit versucht wurde, derartige Probleme zu vermeiden. Dafür wurde der gesamte Versionsaushandlungsmechanismus geändert.

Anzeige

Laut dem Eintrag im Bugtracker von Chrome hatte Google bei einem größeren Kunden, der den Bluecoat-Proxy in Version 6.5 nutzte, Verbindungsfehler festgestellt. Ein ähnlicher Fehler tritt auch bei einem Produkt namens iBoss auf.

TLS 1.3 befindet sich zur Zeit im Entwurfsstadium. Das neue Protokoll vermeidet zahlreiche Sicherheitsprobleme älterer TLS-Versionen und ist aufgrund eines neuen Handshakes auch schneller. Google hatte kürzlich in Chrome die Unterstützung für den aktuellen Entwurf von TLS 1.3 aktiviert. Auch Googles eigene Server und einige andere Anbieter, beispielsweise Cloudflare, unterstützen TLS 1.3 bereits. Dank einer temporären Erweiterung ist sichergestellt, dass dabei keine Inkompatibilitäten mit der finalen Version von TLS 1.3 auftreten werden.

Gegen unfähige Hersteller hilft auch Grease nicht

Dass es mit der Auslieferung von TLS 1.3 zu derartigen Problemen kommen könnte, hatte die Community bereits abgesehen. Bei allen früheren Versuchen, neue TLS-Versionen einzuführen, trat ein Problem namens "Version Intolerance" auf. Ein korrekt arbeitender Server sollte bei einem Verbindungsversuch mit einer TLS-Version, die er nicht unterstützt, schlicht eine Verbindung mit einer niedrigeren TLS-Version durchführen. Doch viele Server schlampen hier, so hätten diverse Geräte unter anderem von Citrix, Cisco und IBM Probleme mit einem TLS-1.3-Handshake gehabt. Ein Fix war bei keinem der Hersteller in Sicht.

Google-Entwickler David Benjamin hatte daher einen neuen Versionsaushandlungsmechanismus vorgeschlagen. Mit einer TLS-Erweiterung sollte künftig die Version ausgehandelt werden. Um zu verhindern, dass in Zukunft ähnliche Probleme auftreten, entwickelte Benjamin zusätzlich das Grease-Protokoll: Bestimmte, reservierte Versionswerte sollten zufällig mitgeschickt werden, korrekt arbeitende Server müssen diese lediglich ignorieren.

Doch all das nutzte offenbar nichts, um die Probleme mit den Bluecoat-Geräten zu verhindern. Was hier genau passiert, geht aus dem Bugreport nicht hervor. Denkbar ist, dass die Bluecoat-Geräte als Man-in-the-Middle-Proxy agieren und unbekannte TLS-Erweiterungen einfach weiterleiten, statt sie zu ignorieren. Ebenfalls denkbar wäre, dass die Proxies den Handshake durchführen lassen, aber anschließend den unbekannten TLS-1.3-Traffic blockieren. In jedem Fall ist es ein Bug in den Geräten von Bluecoat.

Bluecoat wurde vor Monaten auf mögliche Probleme hingewiesen

Chrome hat vorläufig die Unterstützung für TLS 1.3 wieder deaktiviert. David Benjamin schreibt in dem Bugreport, dass er bereits vor mehreren Monaten Bluecoat auf TLS 1.3 hingewiesen hatte und das Unternehmen bat, dies entsprechend mit seinen Geräten zu testen. Diesen wohlgemeinten Ratschlag hat Bluecoat wohl ignoriert.

Bluecoat ist ein sehr umstrittener Hersteller von Enterprise-Equipment und wurde im vergangenen Jahr von Symantec übernommen. Wir haben bei der Pressestelle von Symantec um eine Stellungnahme gebeten, bisher haben wir keine Antwort erhalten.


eye home zur Startseite
IncredibleAlk 01. Mär 2017

Das machen auch andere wie Palo Alto mit SSL decryption. Wenns geil ist, dann machen das...

DebugErr 28. Feb 2017

Dass er sich mal einen neuen Nick zulegen sollte.



Anzeige

Stellenmarkt
  1. Scheidt & Bachmann System Service GmbH, Mönchengladbach bei Düsseldorf
  2. M-net Telekommunikations GmbH, München
  3. DMG MORI AKTIENGESELLSCHAFT, Bielefeld
  4. Giesecke+Devrient Currency Technology GmbH, München


Anzeige
Spiele-Angebote
  1. (u. a. Dragon Ball Xenoverse Bundle 14,99€ und Xenoverse 2 für 22,99€)
  2. 49,79€
  3. 9,99€

Folgen Sie uns
       


  1. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  2. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa

  3. Kabel und DSL

    Vodafone gewinnt 100.000 neue Festnetzkunden

  4. New Technologies Group

    Intel macht Wearables-Sparte dicht

  5. Elektromobilität

    Staatliche Finanzhilfen elektrisieren Norwegen

  6. Playstation 4

    Sony macht Jagd auf SDK 4.5

  7. The Boring Company

    Musk plant Hyperloop-Tunnel von New York nach Washington

  8. Deep Learning

    Intel bringt Movidius Neural Compute Stick

  9. Unsichere Android-Version

    Verbraucherschützer verklagen Händler

  10. Building 8

    Facebook arbeitet an modularem Mobilgerät



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Kryptowährungen Massiver Diebstahl von Ether
  2. Link11 DDoS-Angriffe nehmen wegen IoT-Botnetzen weiter zu
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF DNS wird sicher, aber erst später
  2. IETF 5G braucht das Internet - auch ohne Internet
  3. IETF DNS über HTTPS ist besser als DNS

  1. Re: Nur Laien komprimieren

    sfiedler993 | 14:42

  2. Re: Garagenbesitzer

    SJ | 14:41

  3. Re: nix besonderes oO

    s15 | 14:41

  4. Re: Ich kaufe mir ein E-Auto wenn...

    DeathMD | 14:40

  5. Re: Warum jetzt ein extra Tool?

    LeonBergmann | 14:40


  1. 14:10

  2. 14:00

  3. 12:38

  4. 12:29

  5. 12:01

  6. 11:48

  7. 11:07

  8. 10:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel