Abo
  • Services:
Anzeige
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

Fehlerhafte Bluecoat-Geräte haben dafür gesorgt, dass die Entwickler von Chrome die Nutzung von TLS 1.3 kurzfristig wieder abschalten mussten. Laut einem Bericht im Bugtracker von Chrome traten Verbindungsfehler bei Verbindungen zu Googles eigenen Servern auf. Der Vorfall ist insofern besonders bemerkenswert, als beim Design von TLS 1.3 eigentlich explizit versucht wurde, derartige Probleme zu vermeiden. Dafür wurde der gesamte Versionsaushandlungsmechanismus geändert.

Anzeige

Laut dem Eintrag im Bugtracker von Chrome hatte Google bei einem größeren Kunden, der den Bluecoat-Proxy in Version 6.5 nutzte, Verbindungsfehler festgestellt. Ein ähnlicher Fehler tritt auch bei einem Produkt namens iBoss auf.

TLS 1.3 befindet sich zur Zeit im Entwurfsstadium. Das neue Protokoll vermeidet zahlreiche Sicherheitsprobleme älterer TLS-Versionen und ist aufgrund eines neuen Handshakes auch schneller. Google hatte kürzlich in Chrome die Unterstützung für den aktuellen Entwurf von TLS 1.3 aktiviert. Auch Googles eigene Server und einige andere Anbieter, beispielsweise Cloudflare, unterstützen TLS 1.3 bereits. Dank einer temporären Erweiterung ist sichergestellt, dass dabei keine Inkompatibilitäten mit der finalen Version von TLS 1.3 auftreten werden.

Gegen unfähige Hersteller hilft auch Grease nicht

Dass es mit der Auslieferung von TLS 1.3 zu derartigen Problemen kommen könnte, hatte die Community bereits abgesehen. Bei allen früheren Versuchen, neue TLS-Versionen einzuführen, trat ein Problem namens "Version Intolerance" auf. Ein korrekt arbeitender Server sollte bei einem Verbindungsversuch mit einer TLS-Version, die er nicht unterstützt, schlicht eine Verbindung mit einer niedrigeren TLS-Version durchführen. Doch viele Server schlampen hier, so hätten diverse Geräte unter anderem von Citrix, Cisco und IBM Probleme mit einem TLS-1.3-Handshake gehabt. Ein Fix war bei keinem der Hersteller in Sicht.

Google-Entwickler David Benjamin hatte daher einen neuen Versionsaushandlungsmechanismus vorgeschlagen. Mit einer TLS-Erweiterung sollte künftig die Version ausgehandelt werden. Um zu verhindern, dass in Zukunft ähnliche Probleme auftreten, entwickelte Benjamin zusätzlich das Grease-Protokoll: Bestimmte, reservierte Versionswerte sollten zufällig mitgeschickt werden, korrekt arbeitende Server müssen diese lediglich ignorieren.

Doch all das nutzte offenbar nichts, um die Probleme mit den Bluecoat-Geräten zu verhindern. Was hier genau passiert, geht aus dem Bugreport nicht hervor. Denkbar ist, dass die Bluecoat-Geräte als Man-in-the-Middle-Proxy agieren und unbekannte TLS-Erweiterungen einfach weiterleiten, statt sie zu ignorieren. Ebenfalls denkbar wäre, dass die Proxies den Handshake durchführen lassen, aber anschließend den unbekannten TLS-1.3-Traffic blockieren. In jedem Fall ist es ein Bug in den Geräten von Bluecoat.

Bluecoat wurde vor Monaten auf mögliche Probleme hingewiesen

Chrome hat vorläufig die Unterstützung für TLS 1.3 wieder deaktiviert. David Benjamin schreibt in dem Bugreport, dass er bereits vor mehreren Monaten Bluecoat auf TLS 1.3 hingewiesen hatte und das Unternehmen bat, dies entsprechend mit seinen Geräten zu testen. Diesen wohlgemeinten Ratschlag hat Bluecoat wohl ignoriert.

Bluecoat ist ein sehr umstrittener Hersteller von Enterprise-Equipment und wurde im vergangenen Jahr von Symantec übernommen. Wir haben bei der Pressestelle von Symantec um eine Stellungnahme gebeten, bisher haben wir keine Antwort erhalten.


eye home zur Startseite
IncredibleAlk 01. Mär 2017

Das machen auch andere wie Palo Alto mit SSL decryption. Wenns geil ist, dann machen das...

Themenstart

DebugErr 28. Feb 2017

Dass er sich mal einen neuen Nick zulegen sollte.

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. GK Software AG, Schöneck, St. Ingbert, Berlin, Köln
  3. SICK AG, Waldkirch bei Freiburg im Breisgau
  4. Springer Nature, Berlin


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (Core i7-7700HQ + GeForce GTX 1070)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. WatchOS 3.2 und TVOS 10.2

    Apple Watch mit Kinomodus und Apple TV mit fixem Scrollen

  2. Apple

    MacOS Sierra 10.12.4 mit Nachtschicht-Modus

  3. Apple

    iOS 10.3 in finaler Version erschienen

  4. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  5. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  6. Cryptowars

    "Kein geheimer Ort für Terroristen"

  7. Trello

    Atlassian setzt alles auf eine Karte

  8. Endless Runway

    Der Flughafen wird rund

  9. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  10. All Walls Must Fall

    Strategie und Zeitreisen in Berlin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Patentantrag Apple will iPhone ins Macbook stecken
  2. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  3. Instandsetzung Apple macht iPhone-Reparaturen teurer

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Dieter Lauinger Minister fordert Gesetz gegen Hasskommentare noch vor Wahl
  2. Messenger Facebook sagt "Daumen runter"
  3. Let's Play Facebook ermöglicht Livevideos vom PC

  1. Re: IOS 10.3 iPhone 5

    nightmar17 | 08:12

  2. Re: Und da ist die typische breite Masse Denke...

    PiranhA | 08:11

  3. Re: Sorry, sowas kann ich nicht auf Kunden loslassen

    nightmar17 | 08:11

  4. Re: Ist schon der 1. April ?

    Lehmroboter | 08:10

  5. Re: Chemikers Rezept für defekte Platten

    x2k | 08:08


  1. 07:35

  2. 00:28

  3. 00:05

  4. 18:55

  5. 18:18

  6. 18:08

  7. 17:48

  8. 17:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel