• IT-Karriere:
  • Services:

TLS: Cloudflare startet Unterstützung für verschlüsselte SNI

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

Artikel veröffentlicht am ,
ESNI soll die Übertragung des Domainnamen absichern.
ESNI soll die Übertragung des Domainnamen absichern. (Bild: Alistair Young/CC-BY 2.0)

Seit einigen Monaten arbeiten die Unternehmen Mozilla, Fastly, Cloudflare und Apple gemeinsam an einem Entwurf der Internet Engineering Task Force (IETF), der dazu dient, dass die TLS-Erweiterung SNI verschlüsselt wird (ESNI). Grund für diese Arbeiten ist, dass trotz der Verbesserung von TLS 1.3 Angreifer unter Umständen immer noch den Domainnamen der Verbindung belauschen können, was ESNI künftig aber verhindern soll. Cloudflare bietet nun als erstes Unternehmen die Nutzung von ESNI an, wie das Unternehmen mitteilt.

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. UmweltBank AG, Nürnberg

SNI steht für Server Name Indication und wurde erstmals 2003 als Standard veröffentlicht. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

  • Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)
  • ... mit ESNI soll sich das ändern. (Bild: Cloudflare)
  • TLS 1.3 mit SNI und übliches DNS bietet Angreifern viel Möglichkeiten.(Bild: Cloudflare)
  • TLS 1.3 mit ESNI und DoH soll Nutzern besser vor Angriffen schützen. (Bild: Cloudflare)
Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)

Bisher wird der Parameter server_name jedoch unverschlüsselt übertragen, was durch ESNI beendet werden soll. Der Entwurf sieht dafür vor, dass die Dienste- und Serveranbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Cloudflare nutzt für die Veröffentlichung seinen eigenen DNS-Dienst und bietet Cloudflare-Kunden ESNI für ihre Webseiten automatisch und gratis an. Der DNS-Dienst von Cloudflare bietet Nutzern außerdem DNS-over-HTTPS (DoH), so dass auch diese Anfragen verschlüsselt sind.

Weitere technische Details zur Umsetzung liefert ein separater Blogpost von Cloudflare. Künftig sollen laut Cloudflare alle großen Browserhersteller ESNI unterstützen. Als Erstes wird dies wohl von Mozilla in Firefox umgesetzt, das für seine DoH-Tests mit Cloudflare kooperiert. Der Ankündigung zufolge soll noch diese Woche eine Nightly-Version von Firefox erscheinen, die ESNI unterstützt und nutzen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Rail 27. Sep 2018

Hallo, Ich habe meinen Server direkt am Netz und habe dann natürlich einige Sicherheitsma...

HeroFeat 25. Sep 2018

Deswegen wird sicherlich keiner anfangen jeder Seite eine eigene IP zuzuweisen. So viele...


Folgen Sie uns
       


Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
    •  /