Abo
  • Services:

TLS: Cloudflare startet Unterstützung für verschlüsselte SNI

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

Artikel veröffentlicht am ,
ESNI soll die Übertragung des Domainnamen absichern.
ESNI soll die Übertragung des Domainnamen absichern. (Bild: Alistair Young/CC-BY 2.0)

Seit einigen Monaten arbeiten die Unternehmen Mozilla, Fastly, Cloudflare und Apple gemeinsam an einem Entwurf der Internet Engineering Task Force (IETF), der dazu dient, dass die TLS-Erweiterung SNI verschlüsselt wird (ESNI). Grund für diese Arbeiten ist, dass trotz der Verbesserung von TLS 1.3 Angreifer unter Umständen immer noch den Domainnamen der Verbindung belauschen können, was ESNI künftig aber verhindern soll. Cloudflare bietet nun als erstes Unternehmen die Nutzung von ESNI an, wie das Unternehmen mitteilt.

Stellenmarkt
  1. init SE, Karlsruhe
  2. Cassini Consulting, Verschiedene Standorte

SNI steht für Server Name Indication und wurde erstmals 2003 als Standard veröffentlicht. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

  • Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)
  • ... mit ESNI soll sich das ändern. (Bild: Cloudflare)
  • TLS 1.3 mit SNI und übliches DNS bietet Angreifern viel Möglichkeiten.(Bild: Cloudflare)
  • TLS 1.3 mit ESNI und DoH soll Nutzern besser vor Angriffen schützen. (Bild: Cloudflare)
Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)

Bisher wird der Parameter server_name jedoch unverschlüsselt übertragen, was durch ESNI beendet werden soll. Der Entwurf sieht dafür vor, dass die Dienste- und Serveranbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Cloudflare nutzt für die Veröffentlichung seinen eigenen DNS-Dienst und bietet Cloudflare-Kunden ESNI für ihre Webseiten automatisch und gratis an. Der DNS-Dienst von Cloudflare bietet Nutzern außerdem DNS-over-HTTPS (DoH), so dass auch diese Anfragen verschlüsselt sind.

Weitere technische Details zur Umsetzung liefert ein separater Blogpost von Cloudflare. Künftig sollen laut Cloudflare alle großen Browserhersteller ESNI unterstützen. Als Erstes wird dies wohl von Mozilla in Firefox umgesetzt, das für seine DoH-Tests mit Cloudflare kooperiert. Der Ankündigung zufolge soll noch diese Woche eine Nightly-Version von Firefox erscheinen, die ESNI unterstützt und nutzen kann.



Anzeige
Top-Angebote
  1. (u. a. DOOM für 6,99€, Assassin's Creed Odyssey für 49,99€ und Civilization VI - Digital...
  2. 39,98€ (Vergleichspreis ca. 72€)
  3. ab 519€ bei Alternate lieferbar
  4. (heute Samsung HT-J4500 5.1-Heimkino-System für 149€ statt 168,94€ im Vergleich)

Rail 27. Sep 2018 / Themenstart

Hallo, Ich habe meinen Server direkt am Netz und habe dann natürlich einige Sicherheitsma...

HeroFeat 25. Sep 2018 / Themenstart

Deswegen wird sicherlich keiner anfangen jeder Seite eine eigene IP zuzuweisen. So viele...

Kommentieren


Folgen Sie uns
       


Forza Horizon 4 - Golem.de Live (Teil 1)

Michael zeigt alle Jahreszeiten und Spielmodi in Forza Horizon 4.

Forza Horizon 4 - Golem.de Live (Teil 1) Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


      •  /