Abo
  • Services:

TLS: Cloudflare startet Unterstützung für verschlüsselte SNI

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

Artikel veröffentlicht am ,
ESNI soll die Übertragung des Domainnamen absichern.
ESNI soll die Übertragung des Domainnamen absichern. (Bild: Alistair Young/CC-BY 2.0)

Seit einigen Monaten arbeiten die Unternehmen Mozilla, Fastly, Cloudflare und Apple gemeinsam an einem Entwurf der Internet Engineering Task Force (IETF), der dazu dient, dass die TLS-Erweiterung SNI verschlüsselt wird (ESNI). Grund für diese Arbeiten ist, dass trotz der Verbesserung von TLS 1.3 Angreifer unter Umständen immer noch den Domainnamen der Verbindung belauschen können, was ESNI künftig aber verhindern soll. Cloudflare bietet nun als erstes Unternehmen die Nutzung von ESNI an, wie das Unternehmen mitteilt.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

SNI steht für Server Name Indication und wurde erstmals 2003 als Standard veröffentlicht. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

  • Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)
  • ... mit ESNI soll sich das ändern. (Bild: Cloudflare)
  • TLS 1.3 mit SNI und übliches DNS bietet Angreifern viel Möglichkeiten.(Bild: Cloudflare)
  • TLS 1.3 mit ESNI und DoH soll Nutzern besser vor Angriffen schützen. (Bild: Cloudflare)
Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)

Bisher wird der Parameter server_name jedoch unverschlüsselt übertragen, was durch ESNI beendet werden soll. Der Entwurf sieht dafür vor, dass die Dienste- und Serveranbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Cloudflare nutzt für die Veröffentlichung seinen eigenen DNS-Dienst und bietet Cloudflare-Kunden ESNI für ihre Webseiten automatisch und gratis an. Der DNS-Dienst von Cloudflare bietet Nutzern außerdem DNS-over-HTTPS (DoH), so dass auch diese Anfragen verschlüsselt sind.

Weitere technische Details zur Umsetzung liefert ein separater Blogpost von Cloudflare. Künftig sollen laut Cloudflare alle großen Browserhersteller ESNI unterstützen. Als Erstes wird dies wohl von Mozilla in Firefox umgesetzt, das für seine DoH-Tests mit Cloudflare kooperiert. Der Ankündigung zufolge soll noch diese Woche eine Nightly-Version von Firefox erscheinen, die ESNI unterstützt und nutzen kann.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 399€ (Vergleichspreis ab 467€)

Rail 27. Sep 2018

Hallo, Ich habe meinen Server direkt am Netz und habe dann natürlich einige Sicherheitsma...

HeroFeat 25. Sep 2018

Deswegen wird sicherlich keiner anfangen jeder Seite eine eigene IP zuzuweisen. So viele...


Folgen Sie uns
       


Red Dead Redemption 2 auf der Xbox One X - Golem.de live

Wir zeigen auf zahlreich geäußerten Wunsch Red Dead Redemption 2 im Livestream auf der Xbox One X. In der Aufzeichung kommen die Details des zum Teil in 4K hereingezoomten Bildausschnittes gut zur Geltung.

Red Dead Redemption 2 auf der Xbox One X - Golem.de live Video aufrufen
Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
Need for Speed 3 Hot Pursuit (1998)
El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
Von Michael Wieczorek


    IMHO: Valves Ka-Ching mit der Brechstange
    IMHO
    Valves "Ka-Ching" mit der Brechstange

    Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
    Ein IMHO von Michael Wieczorek

    1. Artifact im Test Zusammengewürfelt und potenziell teuer
    2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
    3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

      •  /