Abo
  • Services:
Anzeige
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

Fehlerhafte Bluecoat-Geräte haben dafür gesorgt, dass die Entwickler von Chrome die Nutzung von TLS 1.3 kurzfristig wieder abschalten mussten. Laut einem Bericht im Bugtracker von Chrome traten Verbindungsfehler bei Verbindungen zu Googles eigenen Servern auf. Der Vorfall ist insofern besonders bemerkenswert, als beim Design von TLS 1.3 eigentlich explizit versucht wurde, derartige Probleme zu vermeiden. Dafür wurde der gesamte Versionsaushandlungsmechanismus geändert.

Anzeige

Laut dem Eintrag im Bugtracker von Chrome hatte Google bei einem größeren Kunden, der den Bluecoat-Proxy in Version 6.5 nutzte, Verbindungsfehler festgestellt. Ein ähnlicher Fehler tritt auch bei einem Produkt namens iBoss auf.

TLS 1.3 befindet sich zur Zeit im Entwurfsstadium. Das neue Protokoll vermeidet zahlreiche Sicherheitsprobleme älterer TLS-Versionen und ist aufgrund eines neuen Handshakes auch schneller. Google hatte kürzlich in Chrome die Unterstützung für den aktuellen Entwurf von TLS 1.3 aktiviert. Auch Googles eigene Server und einige andere Anbieter, beispielsweise Cloudflare, unterstützen TLS 1.3 bereits. Dank einer temporären Erweiterung ist sichergestellt, dass dabei keine Inkompatibilitäten mit der finalen Version von TLS 1.3 auftreten werden.

Gegen unfähige Hersteller hilft auch Grease nicht

Dass es mit der Auslieferung von TLS 1.3 zu derartigen Problemen kommen könnte, hatte die Community bereits abgesehen. Bei allen früheren Versuchen, neue TLS-Versionen einzuführen, trat ein Problem namens "Version Intolerance" auf. Ein korrekt arbeitender Server sollte bei einem Verbindungsversuch mit einer TLS-Version, die er nicht unterstützt, schlicht eine Verbindung mit einer niedrigeren TLS-Version durchführen. Doch viele Server schlampen hier, so hätten diverse Geräte unter anderem von Citrix, Cisco und IBM Probleme mit einem TLS-1.3-Handshake gehabt. Ein Fix war bei keinem der Hersteller in Sicht.

Google-Entwickler David Benjamin hatte daher einen neuen Versionsaushandlungsmechanismus vorgeschlagen. Mit einer TLS-Erweiterung sollte künftig die Version ausgehandelt werden. Um zu verhindern, dass in Zukunft ähnliche Probleme auftreten, entwickelte Benjamin zusätzlich das Grease-Protokoll: Bestimmte, reservierte Versionswerte sollten zufällig mitgeschickt werden, korrekt arbeitende Server müssen diese lediglich ignorieren.

Doch all das nutzte offenbar nichts, um die Probleme mit den Bluecoat-Geräten zu verhindern. Was hier genau passiert, geht aus dem Bugreport nicht hervor. Denkbar ist, dass die Bluecoat-Geräte als Man-in-the-Middle-Proxy agieren und unbekannte TLS-Erweiterungen einfach weiterleiten, statt sie zu ignorieren. Ebenfalls denkbar wäre, dass die Proxies den Handshake durchführen lassen, aber anschließend den unbekannten TLS-1.3-Traffic blockieren. In jedem Fall ist es ein Bug in den Geräten von Bluecoat.

Bluecoat wurde vor Monaten auf mögliche Probleme hingewiesen

Chrome hat vorläufig die Unterstützung für TLS 1.3 wieder deaktiviert. David Benjamin schreibt in dem Bugreport, dass er bereits vor mehreren Monaten Bluecoat auf TLS 1.3 hingewiesen hatte und das Unternehmen bat, dies entsprechend mit seinen Geräten zu testen. Diesen wohlgemeinten Ratschlag hat Bluecoat wohl ignoriert.

Bluecoat ist ein sehr umstrittener Hersteller von Enterprise-Equipment und wurde im vergangenen Jahr von Symantec übernommen. Wir haben bei der Pressestelle von Symantec um eine Stellungnahme gebeten, bisher haben wir keine Antwort erhalten.


eye home zur Startseite
IncredibleAlk 01. Mär 2017

Das machen auch andere wie Palo Alto mit SSL decryption. Wenns geil ist, dann machen das...

DebugErr 28. Feb 2017

Dass er sich mal einen neuen Nick zulegen sollte.



Anzeige

Stellenmarkt
  1. Heraeus infosystems GmbH, Hanau bei Frankfurt am Main
  2. Radeberger Gruppe KG, Frankfurt am Main
  3. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  4. AEVI International GmbH, Berlin


Anzeige
Hardware-Angebote
  1. 24,04€
  2. 699€
  3. jetzt bei Caseking

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Jamaika wird nicht halten

    Neratiel | 04:29

  2. Re: Selbstgemachtes Problem

    bombinho | 03:12

  3. Re: Endlich Reißleine ziehen.

    bombinho | 03:09

  4. Re: Dagegen! [solution inside]

    bombinho | 03:02

  5. Re: Wieso hat die PARTEI keine absolute Mehrheit?

    mnementh | 02:05


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel