Abo
  • Services:

TLS: Cloudflare startet Unterstützung für verschlüsselte SNI

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

Artikel veröffentlicht am ,
ESNI soll die Übertragung des Domainnamen absichern.
ESNI soll die Übertragung des Domainnamen absichern. (Bild: Alistair Young/CC-BY 2.0)

Seit einigen Monaten arbeiten die Unternehmen Mozilla, Fastly, Cloudflare und Apple gemeinsam an einem Entwurf der Internet Engineering Task Force (IETF), der dazu dient, dass die TLS-Erweiterung SNI verschlüsselt wird (ESNI). Grund für diese Arbeiten ist, dass trotz der Verbesserung von TLS 1.3 Angreifer unter Umständen immer noch den Domainnamen der Verbindung belauschen können, was ESNI künftig aber verhindern soll. Cloudflare bietet nun als erstes Unternehmen die Nutzung von ESNI an, wie das Unternehmen mitteilt.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Braunschweig
  2. ENERCON GmbH, Aurich

SNI steht für Server Name Indication und wurde erstmals 2003 als Standard veröffentlicht. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

  • Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)
  • ... mit ESNI soll sich das ändern. (Bild: Cloudflare)
  • TLS 1.3 mit SNI und übliches DNS bietet Angreifern viel Möglichkeiten.(Bild: Cloudflare)
  • TLS 1.3 mit ESNI und DoH soll Nutzern besser vor Angriffen schützen. (Bild: Cloudflare)
Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)

Bisher wird der Parameter server_name jedoch unverschlüsselt übertragen, was durch ESNI beendet werden soll. Der Entwurf sieht dafür vor, dass die Dienste- und Serveranbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Cloudflare nutzt für die Veröffentlichung seinen eigenen DNS-Dienst und bietet Cloudflare-Kunden ESNI für ihre Webseiten automatisch und gratis an. Der DNS-Dienst von Cloudflare bietet Nutzern außerdem DNS-over-HTTPS (DoH), so dass auch diese Anfragen verschlüsselt sind.

Weitere technische Details zur Umsetzung liefert ein separater Blogpost von Cloudflare. Künftig sollen laut Cloudflare alle großen Browserhersteller ESNI unterstützen. Als Erstes wird dies wohl von Mozilla in Firefox umgesetzt, das für seine DoH-Tests mit Cloudflare kooperiert. Der Ankündigung zufolge soll noch diese Woche eine Nightly-Version von Firefox erscheinen, die ESNI unterstützt und nutzen kann.



Anzeige
Top-Angebote
  1. (u. a. Plantronics RIG 800HS PS4/PC für 87€ und Indiana Jones - The Complete Adventures Blu-ray...
  2. (heute u. a. PlayStation Plus 12 Monate Download Code für 44,99€, FIFA 19 Ultimate Team Points...
  3. (u. a. PSN Card 20€ für 17,99€, Assassin's Creed Odyssey für 24,99€ und Tropico 6 für 31...
  4. (u. a. Fallout 4 GOTY für 26,99€ und Season Pass für 14,99€, Skyrim Special Edition für 17...

Rail 27. Sep 2018

Hallo, Ich habe meinen Server direkt am Netz und habe dann natürlich einige Sicherheitsma...

HeroFeat 25. Sep 2018

Deswegen wird sicherlich keiner anfangen jeder Seite eine eigene IP zuzuweisen. So viele...


Folgen Sie uns
       


Huawei P30 Pro - Hands on

Das P30 Pro ist Huaweis jüngstes Top-Smartphone, das erstmals mit einem Teleobjektiv mit Fünffachvergrößerung kommt. Im ersten Kurztest macht die Kamera mit neu entwickeltem Bildsensor einen guten Eindruck.

Huawei P30 Pro - Hands on Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

    •  /