Abo
  • IT-Karriere:

Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

Artikel veröffentlicht am , Hanno Böck
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann.
Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com)

Fehlerhafte Bluecoat-Geräte haben dafür gesorgt, dass die Entwickler von Chrome die Nutzung von TLS 1.3 kurzfristig wieder abschalten mussten. Laut einem Bericht im Bugtracker von Chrome traten Verbindungsfehler bei Verbindungen zu Googles eigenen Servern auf. Der Vorfall ist insofern besonders bemerkenswert, als beim Design von TLS 1.3 eigentlich explizit versucht wurde, derartige Probleme zu vermeiden. Dafür wurde der gesamte Versionsaushandlungsmechanismus geändert.

Stellenmarkt
  1. BWI GmbH, Meckenheim
  2. Bau- und Liegenschaftsbetrieb NRW, Düsseldorf

Laut dem Eintrag im Bugtracker von Chrome hatte Google bei einem größeren Kunden, der den Bluecoat-Proxy in Version 6.5 nutzte, Verbindungsfehler festgestellt. Ein ähnlicher Fehler tritt auch bei einem Produkt namens iBoss auf.

TLS 1.3 befindet sich zur Zeit im Entwurfsstadium. Das neue Protokoll vermeidet zahlreiche Sicherheitsprobleme älterer TLS-Versionen und ist aufgrund eines neuen Handshakes auch schneller. Google hatte kürzlich in Chrome die Unterstützung für den aktuellen Entwurf von TLS 1.3 aktiviert. Auch Googles eigene Server und einige andere Anbieter, beispielsweise Cloudflare, unterstützen TLS 1.3 bereits. Dank einer temporären Erweiterung ist sichergestellt, dass dabei keine Inkompatibilitäten mit der finalen Version von TLS 1.3 auftreten werden.

Gegen unfähige Hersteller hilft auch Grease nicht

Dass es mit der Auslieferung von TLS 1.3 zu derartigen Problemen kommen könnte, hatte die Community bereits abgesehen. Bei allen früheren Versuchen, neue TLS-Versionen einzuführen, trat ein Problem namens "Version Intolerance" auf. Ein korrekt arbeitender Server sollte bei einem Verbindungsversuch mit einer TLS-Version, die er nicht unterstützt, schlicht eine Verbindung mit einer niedrigeren TLS-Version durchführen. Doch viele Server schlampen hier, so hätten diverse Geräte unter anderem von Citrix, Cisco und IBM Probleme mit einem TLS-1.3-Handshake gehabt. Ein Fix war bei keinem der Hersteller in Sicht.

Google-Entwickler David Benjamin hatte daher einen neuen Versionsaushandlungsmechanismus vorgeschlagen. Mit einer TLS-Erweiterung sollte künftig die Version ausgehandelt werden. Um zu verhindern, dass in Zukunft ähnliche Probleme auftreten, entwickelte Benjamin zusätzlich das Grease-Protokoll: Bestimmte, reservierte Versionswerte sollten zufällig mitgeschickt werden, korrekt arbeitende Server müssen diese lediglich ignorieren.

Doch all das nutzte offenbar nichts, um die Probleme mit den Bluecoat-Geräten zu verhindern. Was hier genau passiert, geht aus dem Bugreport nicht hervor. Denkbar ist, dass die Bluecoat-Geräte als Man-in-the-Middle-Proxy agieren und unbekannte TLS-Erweiterungen einfach weiterleiten, statt sie zu ignorieren. Ebenfalls denkbar wäre, dass die Proxies den Handshake durchführen lassen, aber anschließend den unbekannten TLS-1.3-Traffic blockieren. In jedem Fall ist es ein Bug in den Geräten von Bluecoat.

Bluecoat wurde vor Monaten auf mögliche Probleme hingewiesen

Chrome hat vorläufig die Unterstützung für TLS 1.3 wieder deaktiviert. David Benjamin schreibt in dem Bugreport, dass er bereits vor mehreren Monaten Bluecoat auf TLS 1.3 hingewiesen hatte und das Unternehmen bat, dies entsprechend mit seinen Geräten zu testen. Diesen wohlgemeinten Ratschlag hat Bluecoat wohl ignoriert.

Bluecoat ist ein sehr umstrittener Hersteller von Enterprise-Equipment und wurde im vergangenen Jahr von Symantec übernommen. Wir haben bei der Pressestelle von Symantec um eine Stellungnahme gebeten, bisher haben wir keine Antwort erhalten.



Anzeige
Top-Angebote
  1. (u. a. AMD Upgrade-Bundle mit Sapphire Radeon RX 590 Nitro+ SE + AMD Ryzen 7 2700X + ASUS TUF B450...
  2. (u. a. Sandisk SSD Plus 1 TB für 88€, WD Elements 1,5-TB-HDD für 55€ und Seagate Expansion...
  3. (u. a. Call of Duty: Modern Warfare für 52,99€, Pillars of Eternity II für 16,99€, Devil May...

IncredibleAlk 01. Mär 2017

Das machen auch andere wie Palo Alto mit SSL decryption. Wenns geil ist, dann machen das...

DebugErr 28. Feb 2017

Dass er sich mal einen neuen Nick zulegen sollte.


Folgen Sie uns
       


Google Pixel 4 und Pixel 4 XL ausprobiert

Google hat seine neuen Pixel-Smartphones vorgestellt: Im ersten Hands on machen das Pixel 4 und das Pixel 4 XL einen guten Eindruck.

Google Pixel 4 und Pixel 4 XL ausprobiert Video aufrufen
16K-Videos: 400 MByte für einen Screenshot
16K-Videos
400 MByte für einen Screenshot

Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
Eine Anleitung von Joachim Otahal

  1. UL 3DMark Feature Test prüft variable Shading-Rate
  2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

    •  /