Abo
  • Services:
Anzeige
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf.
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons/CC-BY-SA 3.0)

Versionsintoleranz und Schmierfett

Ein Problem, das bisher bei jeder neuen TLS-Version auftauchte, hängt mit der Aushandlung der TLS-Version zusammen. Bei einem TLS-Handshake sendet der Client die höchste TLS-Version, die er unterstützt. Aktuell wäre das etwa in der Regel TLS 1.2. Doch damit sich ein Client auch mit Servern verbinden kann, die nur ältere TLS-Protokollversionen unterstützen, kann der Server auch mit einer niedrigeren Protokollversion antworten, etwa TLS 1.0.

Anzeige

Das Problem: Obwohl dieses Versionsaushandlungsverfahren relativ simpel ist, schlampen viele Server dabei. Bei Verbindungen mit höheren TLS-Versionen brechen sie die Verbindung ab, senden einen Fehler oder produzieren einen Timeout. Dieses Verhalten wird als Versionsintoleranz bezeichnet.

Um auch mit solch fehlerhaften Servern eine Verbindung zu ermöglichen, haben die Browserhersteller Fallbacks implementiert. Schlug eine Verbindung mit TLS 1.2 fehl, versuchten sie es erneut mit TLS 1.1, danach mit TLS 1.0 und danach häufig sogar mit dem Uraltprotokoll SSL Version 3.

Diese Fallbacks führten jedoch zu einer ganzen Reihe von Problemen. Zunächst einmal traten sie manchmal auch bei schlechten Netzverbindungen auf. Das führte dazu, dass neuere Protokollfeatures gelegentlich nicht funktionierten. Beispielsweise ermöglicht die TLS-Erweiterung Server Name Indication seit TLS 1.0, dass auf derselben IP mehrere Hosts mit verschiedenen Hostnamen und Zertifikaten betrieben werden. Doch wenn ein Fallback die Verbindung auf SSL Version 3 reduziert, erhält der Nutzer das falsche Zertifikat.

Protokoll-Downgrades können auch zu Sicherheitsproblemen werden. Der erste Angriff, der auf Protokolldowngrades basierte, war 2014 der sogenannte Virtual-Host-Confusion-Angriff von Antoine Delignat-Lavaud. Auch der Ende 2014 entdeckte Poodle-Angriff nutzte die Protokoll-Downgrades.

Nach Poodle hatten die meisten Browser daher diese Downgrades entfernt. Doch zunächst sah es so aus, als würden die Protokolldowngrades mit TLS 1.3 ein Comeback erleben: Trotz dieser ganzen Sicherheitslücken und Fehler in der Vergangenheit haben viele Hersteller offenbar nichts gelernt. Eine ganze Reihe von Servern reagierte fehlerhaft auf Verbindungsversuche mit TLS 1.3 - darunter Webseiten von IT-Größen wie Apple, Ebay oder Paypal.

IBM, Cisco und Citrix mit defekten TLS-Implementierungen

Der Autor dieses Artikels versuchte im Sommer 2016, einige der Hersteller, die für diese defekten TLS-Implementierungen verantwortlich waren, zu kontaktieren, darunter Cisco, Citrix und IBM. Die Reaktionen auf die Meldung dieses Problems waren verhalten. IBM teilte mit, dass es bereits zu spät sei, dieses Problem im nächsten Versionsupdate zu beheben. Erst die übernächste Version - irgendwann 2017 - werde einen Fix enthalten. Cisco verweigerte einen Fix komplett, da das Ganze nur Geräte betraf, die nicht mehr unterstützt wurden. Citrix bestätigte zwar das Problem, sagte aber nicht, wann man einen Fix bereitstellen werde. Apple und Ebay antworteten auf Anfragen überhaupt nicht, Paypal teilte lediglich mit, dass derartige Probleme nicht Teil des Bug-Bounty-Programms der Firma seien.

Google-Entwickler David Benjamin schlug vor, das Problem der Versionsintoleranz durch ein neues Versionsaushandlungsverfahren zu umgehen. Benjamins Vorschlag sieht vor, dass künftig die unterstützten TLS-Versionen durch eine Erweiterung im Handshake mitgeteilt werden. Unbekannte TLS-Erweiterungen werden von Servern ignoriert. Theoretisch könnte ein Server auch in so einem Fall fehlerhaft reagieren, aber das kommt deutlich seltener vor. Der Grund dafür dürfte sein, dass neue TLS-Erweiterungen häufiger eingeführt werden als neue TLS-Versionen.

Dieser neue Mechanismus würde zwar für TLS 1.3 mit ziemlicher Sicherheit funktionieren, aber bei künftigen Versionen könnte sich ein ähnliches Problem ergeben: Server, die TLS 1.3 implementieren, könnten die Versionserweiterung auswerten und eine Verbindung ablehnen, wenn dort eine ihnen unbekannte Version auftaucht.

Schmierfett gegen unfähige Hersteller

Um solche Fehler auch zukünftig zu vermeiden hat Benjamin das Grease-Verfahren entwickelt (Generate Random Extensions And Sustain Extensibility). Man müsse verhindern, dass Protokollimplementierungen rosten und sie deswegen regelmäßig mit Schmierfett behandeln. Die Idee ist simpel: Browser und andere Clients können gelegentlich bestimmte reservierte Nonsens-Versionsnummern mit dem TLS-Handshake mitschicken. Auch für TLS-Erweiterungen und Verschlüsselungsverfahren sind Grease-Werte reserviert.

Ein Server muss unbekannte Werte in all diesen Fällen ignorieren. Falls ein Server auf unbekannte Werte mit einem Fehler reagiert, würde dies früh auffallen, da Verbindungen fehlschlagen. Somit soll verhindert werden, dass derartige fehlerhafte Implementierungen überhaupt Verbreitung finden.

Ein Schlupfloch für dumme Implementierungen bleibt: Entwickler einer TLS-Servers könnten zwar die vordefinierten Grease-Werte ignorieren, aber bei allen anderen Werten weiterhin einen Fehler produzieren. Dafür müssten sie aber schon das Protokoll lesen und gleichzeitig komplett missverstehen - oder absichtlich derartige Fehler einbauen.

 Handshake mit einem oder mit null Round-TripsTLS 1.3 oder doch TLS 4? 

eye home zur Startseite
Elwedritsche 16. Dez 2016

...kann ich nur zustimmen!

bjs 14. Dez 2016

das gilt natürlich auch für apache. die api von openssl 1.0 zu 1.1 hat sich grundlegend...



Anzeige

Stellenmarkt
  1. TenneT TSO GmbH, Bayreuth
  2. Daimler AG, Berlin
  3. beauty alliance Deutschland GmbH & Co. KG, Bielefeld
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  3. (u. a. Zoomania Blu-ray 11,97€, Die Schöne und das Biest Blu-ray 9,97€, The Jungle Book Blu...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  2. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  3. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  4. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  5. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  6. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  7. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  8. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  9. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  10. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Ab 2018 Cebit findet künftig im Sommer statt
  2. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland
  3. Cloud-Computing Open Source Forum der Cebit widmet sich Openstack

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: Inbesondere Verweis auf Teil 7 TKG interessant...

    justjanne | 03:11

  2. Re: Wieso Hass-Kommentare löschen?

    bombinho | 03:08

  3. Re: Betonköpfe

    ChMu | 01:38

  4. Re: Ich finde das ausnahmsweise gut

    Gemüseistgut | 01:30

  5. Re: P2W

    Bendix | 01:04


  1. 15:20

  2. 14:13

  3. 12:52

  4. 12:39

  5. 09:03

  6. 17:45

  7. 17:32

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel