Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

TLS 1.3 kämpft mit Problemen, da viele Middleboxen Verbindungen mit unbekannten Protokollen blockieren. Um das zu verhindern, sollen einige Änderungen dafür sorgen, dass das neue Protokoll wie sein Vorgänger TLS 1.2 aussieht.

Artikel veröffentlicht am , Hanno Böck
TLS 1.3 soll maskiert werden - damit es wie das ältere TLS 1.2 aussieht.
TLS 1.3 soll maskiert werden - damit es wie das ältere TLS 1.2 aussieht. (Bild: Mykl Roventine/Wikimedia Commons/CC-BY 2.0)

Die kommende Version 1.3 des TLS-Verschlüsselungsprotokolls bringt viele Verbesserungen. Zahlreiche unsichere Mechanismen werden entsorgt und ein neuer Handshake sorgt für bessere Performance, da man sich beim Verbindungsaufbau mindestens einen Roundtrip spart. Doch obwohl TLS 1.3 schon seit Monaten praktisch fertig ist, wurde es bisher nicht final verabschiedet. Der Grund dafür: Bei Tests wurde festgestellt, dass ungewöhnlich viele Verbindungsprobleme mit TLS 1.3 auftreten.

Stellenmarkt
  1. Java Developer / Java Entwickler (m/w/d)
    GK Software SE, verschiedene Standorte deutschlandweit, Johannsburg (Südafrika), Pilsen (Tschechische Republik)
  2. Identity and Access Management (IAM) Experte (m/w/d)
    Vorwerk Services GmbH, Düsseldorf, Wuppertal
Detailsuche

Laut Messungen der Entwickler von Firefox und Chrome schlagen zwischen 1,5 und 3 Prozent der Verbindungen fehl. Schuld daran sind wohl Middleboxen, die versuchen, "intelligent" den Traffic zu analysieren. Allerdings sind die dazu bislang öffentlich bekannten Informationen nur spärlich.

Fehlerhafte Middleboxen sorgen für Verbindungsabbrüche

Offenbar gibt es aber eine ganze Reihe von Geräten, die den Traffic auch analysieren. Traffic von bekannten Protokollen - etwa TLS 1.2 - wird weitergeleitet, aber unbekannter Traffic wird blockiert. Genaue Details, um welche Geräte es sich dabei handelt, sind bisher nicht bekannt. Der einzig bislang öffentlich bekannte Fall sind Geräte von Bluecoat, die mittels Man-in-the-Middle-Angriffen TLS-Datentraffic in Enterprise-Umgebungen mitlesen. Allerdings handelt es sich wohl um deutlich mehr Geräte und in vielen Fällen auch nicht um Man-in-the-Middle-Boxen, sondern um gewöhnliche Router, die Datentraffic eigentlich nur weiterleiten sollten.

Auf der TLS-Mailingliste wurde jetzt ein Vorschlag präsentiert, wie man TLS 1.3 so umbauen könnte, dass es TLS 1.2 ähnlicher wird. Damit sollen die Probleme vermieden und die Fehlerrate gesenkt werden. So sollen die Datenpakete grundsätzlich mit der Versionsnummer von TLS 1.2 (die aus historischen Gründen 3.3 lautet) versendet werden. Außerdem sollen Felder, die in TLS 1.2 nicht mehr genutzt werden, wieder in den Handshake aufgenommen werden, darunter die Kompressionsmethode und eine Session-ID.

Golem Karrierewelt
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    08.-10.06.2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.06.2022, Virtuell
Weitere IT-Trainings

Weiterhin soll möglichst früh im Handshake die sogenannte ChangeCipherSpec-Nachricht verschickt werden. Diese CCS-Nachricht diente in TLS 1.2 dazu, den Wechsel von der unverschlüsselten zur verschlüsselten Kommunikation zu signalisieren.

Handshake wurde bereits wegen defekter Server umgebaut

Die Idee dabei: Wenn eine Middlebox eine CCS-Nachricht sieht, muss sie davon ausgehen, dass alle Nachrichten danach verschlüsselt sind - und somit abgesehen von den Headern sowieso nicht analysiert werden können.

Es ist bei weitem nicht das erste Mal, dass solche Entscheidungen getroffen wurden, um Kompatibilität mit faktisch defekten bestehenden Geräten herzustellen.

So wurde der Handshake von TLS 1.3 bereits so umgebaut, dass ein Client scheinbar eine TLS-1.2-Verbindung mit einem Server aufbaut. Dass der Client auch TLS 1.3 unterstützt, wird mit Hilfe einer Erweiterung signalisiert. Der Grund für diese Änderung waren keine Middleboxen, sondern Server, die bei Verbindungsversuchen mit nicht unterstützten TLS-Versionen den Verbindungsaufbau komplett verweigern.

Korrekt arbeitende TLS-1.2-Server müssten bei einem Verbindungsversuch mit einer höheren Version eigentlich lediglich mit der entsprechend niedrigeren Version antworten. Doch zahlreiche Hersteller, darunter Cisco, IBM und Citrix, waren nicht in der Lage, das korrekt zu implementieren.

Früher hatten Browser, um solche Probleme zu umgehen, etwas gemacht, das noch viel problematischer ist: Sie hatten bei Verbindungsproblemen mit neuen TLS-Versionen schlicht einen neuen Verbindungsversuch mit einer älteren TLS-Version unternommen. Das führte dann dazu, dass sämtliche Sicherheitsverbesserungen der neueren TLS-Versionen praktisch nutzlos waren - da ein Angreifer immer durch Verbindungsabbrüche ein Downgrade erzwingen kann.

Frühere Workarounds führten zu Poodle-Angriff

Der Poodle-Angriff zeigte 2014, dass es sich bei diesen Downgrades um ein gravierendes Sicherheitsproblem handelt. Bei Poodle handelte es sich um eine Lücke im Protokoll SSL Version 3. Eigentlich ein uraltes Protokoll, das 2014 niemand mehr verwendet haben sollte. Doch dank der Downgrades konnte man Browser dazu bewegen, eine Verbindung mit dem verwundbaren Uraltprotokoll aufzubauen.

Die jetzt vorgeschlagenen Änderungen an TLS 1.3 sind im Vergleich zu den früheren Versionsdowngrades relativ harmlos. Die kryptographischen Eigenschaften von TLS 1.3, die in vieler Hinsicht ein großer Fortschritt sind, werden dadurch nicht geschwächt. Trotzdem ist das alles aus Sicherheitsgründen alles andere als wünschenswert, da es zusätzliche Komplexität einführt.

Doch für die Browserhersteller ist es aktuell wohl nicht akzeptabel, bei einem signifikanten Teil der Nutzer für Verbindungsabbrüche zu sorgen - auch wenn daran eindeutig die fehlerhaften Middleboxen schuld sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 09. Nov 2017

Das tut nix zur sache. Artikelzitat: Kurzfassung, aufwärtskompatibilität ist bereits teil...

My1 09. Nov 2017

Die Teile sind aber nicht mal mit tls1.2 korrekt kompatibel, da wie im Artikel steht...

My1 09. Nov 2017

Kann sein, aber wie oben bereits gesagt wurde sollte die Kiste dann einfach mit "ich...

Vanger 09. Nov 2017

Thema verfehlt. Thema ist nicht, dass diese kaputten Middleboxen kein TLS 1.3...



Aktuell auf der Startseite von Golem.de
DECT für IoT und Smart Citys
Die Aufwertung eines 30 Jahre alten Funkstandards

Nach drei Jahrzehnten DECT zieht DECT-2020 NR alias NR+ als vierte Radiotechnologie in den 5G-Standard/IMT-2020 ein.
Von Karl-Heinz Müller

DECT für IoT und Smart Citys: Die Aufwertung eines 30 Jahre alten Funkstandards
Artikel
  1. MX Master 3S: Logitech überarbeitet seine Oberklasse-Maus
    MX Master 3S
    Logitech überarbeitet seine Oberklasse-Maus

    Die neue MX Master 3S hat leiser arbeitende Tasten als das Vorgängermodell und Logitech hat in die neue Maus einen Sensor mit 8.000 dpi eingebaut.

  2. Telefónica: Kein Preisaufschlag für O2-Free-Tarife mit kurzer Laufzeit
    Telefónica
    Kein Preisaufschlag für O2-Free-Tarife mit kurzer Laufzeit

    Telefónica bietet der Kundschaft bei der Buchung von O2-Free-Tarifen mehr Flexibilität, ohne dass diese etwas zusätzlich zahlen muss.

  3. City M 2.0: Strøm baut minimalistisches Pendler-E-Bike
    City M 2.0
    Strøm baut minimalistisches Pendler-E-Bike

    Das Strøm City M 2.0 ist ein E-Bike, das wegen seiner schlichten Linienführung auffällt und über Indiegogo für 1.095 Euro angeboten wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34 Zoll UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Cyber Week: Alle Deals freigeschaltet • Xbox Series X bestellbar • Samsung schenkt 19% MwSt.[Werbung]
    •  /