• IT-Karriere:
  • Services:

Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

Artikel veröffentlicht am , Hanno Böck
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Fehlerhafte Bluecoat-Geräte haben dafür gesorgt, dass die Entwickler von Chrome die Nutzung von TLS 1.3 kurzfristig wieder abschalten mussten. Laut einem Bericht im Bugtracker von Chrome traten Verbindungsfehler bei Verbindungen zu Googles eigenen Servern auf. Der Vorfall ist insofern besonders bemerkenswert, als beim Design von TLS 1.3 eigentlich explizit versucht wurde, derartige Probleme zu vermeiden. Dafür wurde der gesamte Versionsaushandlungsmechanismus geändert.

Stellenmarkt
  1. DENIC Services GmbH & Co. KG, Darmstadt
  2. Deutsche Rentenversicherung Bund, Berlin

Laut dem Eintrag im Bugtracker von Chrome hatte Google bei einem größeren Kunden, der den Bluecoat-Proxy in Version 6.5 nutzte, Verbindungsfehler festgestellt. Ein ähnlicher Fehler tritt auch bei einem Produkt namens iBoss auf.

TLS 1.3 befindet sich zur Zeit im Entwurfsstadium. Das neue Protokoll vermeidet zahlreiche Sicherheitsprobleme älterer TLS-Versionen und ist aufgrund eines neuen Handshakes auch schneller. Google hatte kürzlich in Chrome die Unterstützung für den aktuellen Entwurf von TLS 1.3 aktiviert. Auch Googles eigene Server und einige andere Anbieter, beispielsweise Cloudflare, unterstützen TLS 1.3 bereits. Dank einer temporären Erweiterung ist sichergestellt, dass dabei keine Inkompatibilitäten mit der finalen Version von TLS 1.3 auftreten werden.

Gegen unfähige Hersteller hilft auch Grease nicht

Dass es mit der Auslieferung von TLS 1.3 zu derartigen Problemen kommen könnte, hatte die Community bereits abgesehen. Bei allen früheren Versuchen, neue TLS-Versionen einzuführen, trat ein Problem namens "Version Intolerance" auf. Ein korrekt arbeitender Server sollte bei einem Verbindungsversuch mit einer TLS-Version, die er nicht unterstützt, schlicht eine Verbindung mit einer niedrigeren TLS-Version durchführen. Doch viele Server schlampen hier, so hätten diverse Geräte unter anderem von Citrix, Cisco und IBM Probleme mit einem TLS-1.3-Handshake gehabt. Ein Fix war bei keinem der Hersteller in Sicht.

Google-Entwickler David Benjamin hatte daher einen neuen Versionsaushandlungsmechanismus vorgeschlagen. Mit einer TLS-Erweiterung sollte künftig die Version ausgehandelt werden. Um zu verhindern, dass in Zukunft ähnliche Probleme auftreten, entwickelte Benjamin zusätzlich das Grease-Protokoll: Bestimmte, reservierte Versionswerte sollten zufällig mitgeschickt werden, korrekt arbeitende Server müssen diese lediglich ignorieren.

Doch all das nutzte offenbar nichts, um die Probleme mit den Bluecoat-Geräten zu verhindern. Was hier genau passiert, geht aus dem Bugreport nicht hervor. Denkbar ist, dass die Bluecoat-Geräte als Man-in-the-Middle-Proxy agieren und unbekannte TLS-Erweiterungen einfach weiterleiten, statt sie zu ignorieren. Ebenfalls denkbar wäre, dass die Proxies den Handshake durchführen lassen, aber anschließend den unbekannten TLS-1.3-Traffic blockieren. In jedem Fall ist es ein Bug in den Geräten von Bluecoat.

Bluecoat wurde vor Monaten auf mögliche Probleme hingewiesen

Chrome hat vorläufig die Unterstützung für TLS 1.3 wieder deaktiviert. David Benjamin schreibt in dem Bugreport, dass er bereits vor mehreren Monaten Bluecoat auf TLS 1.3 hingewiesen hatte und das Unternehmen bat, dies entsprechend mit seinen Geräten zu testen. Diesen wohlgemeinten Ratschlag hat Bluecoat wohl ignoriert.

Bluecoat ist ein sehr umstrittener Hersteller von Enterprise-Equipment und wurde im vergangenen Jahr von Symantec übernommen. Wir haben bei der Pressestelle von Symantec um eine Stellungnahme gebeten, bisher haben wir keine Antwort erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 30,00€ (bei ubi.com)
  2. (u. a. Nintendo Switch für 270€, Gigabyte GeForce RTX 2070 Super Gaming OC für 479,00€, Zotac...
  3. (u. a. Deadpool, Logan - The Wolverine, James Bond - Spectre, Titanic 3D)
  4. 379,00€ (Vergleichspreis ab 478,07€)

IncredibleAlk 01. Mär 2017

Das machen auch andere wie Palo Alto mit SSL decryption. Wenns geil ist, dann machen das...

DebugErr 28. Feb 2017

Dass er sich mal einen neuen Nick zulegen sollte.


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

    •  /