• IT-Karriere:
  • Services:

TLS: Cloudflare startet Unterstützung für verschlüsselte SNI

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

Artikel veröffentlicht am ,
ESNI soll die Übertragung des Domainnamen absichern.
ESNI soll die Übertragung des Domainnamen absichern. (Bild: Alistair Young/CC-BY 2.0)

Seit einigen Monaten arbeiten die Unternehmen Mozilla, Fastly, Cloudflare und Apple gemeinsam an einem Entwurf der Internet Engineering Task Force (IETF), der dazu dient, dass die TLS-Erweiterung SNI verschlüsselt wird (ESNI). Grund für diese Arbeiten ist, dass trotz der Verbesserung von TLS 1.3 Angreifer unter Umständen immer noch den Domainnamen der Verbindung belauschen können, was ESNI künftig aber verhindern soll. Cloudflare bietet nun als erstes Unternehmen die Nutzung von ESNI an, wie das Unternehmen mitteilt.

Stellenmarkt
  1. Erzbistum Paderborn, Hardehausen bei Warburg
  2. Hochschule Albstadt-Sigmaringen, Albstadt

SNI steht für Server Name Indication und wurde erstmals 2003 als Standard veröffentlicht. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

  • Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)
  • ... mit ESNI soll sich das ändern. (Bild: Cloudflare)
  • TLS 1.3 mit SNI und übliches DNS bietet Angreifern viel Möglichkeiten.(Bild: Cloudflare)
  • TLS 1.3 mit ESNI und DoH soll Nutzern besser vor Angriffen schützen. (Bild: Cloudflare)
Bisher ist SNI unverschlüsselt ... (Bild: Cloudflare)

Bisher wird der Parameter server_name jedoch unverschlüsselt übertragen, was durch ESNI beendet werden soll. Der Entwurf sieht dafür vor, dass die Dienste- und Serveranbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Cloudflare nutzt für die Veröffentlichung seinen eigenen DNS-Dienst und bietet Cloudflare-Kunden ESNI für ihre Webseiten automatisch und gratis an. Der DNS-Dienst von Cloudflare bietet Nutzern außerdem DNS-over-HTTPS (DoH), so dass auch diese Anfragen verschlüsselt sind.

Weitere technische Details zur Umsetzung liefert ein separater Blogpost von Cloudflare. Künftig sollen laut Cloudflare alle großen Browserhersteller ESNI unterstützen. Als Erstes wird dies wohl von Mozilla in Firefox umgesetzt, das für seine DoH-Tests mit Cloudflare kooperiert. Der Ankündigung zufolge soll noch diese Woche eine Nightly-Version von Firefox erscheinen, die ESNI unterstützt und nutzen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Rail 27. Sep 2018

Hallo, Ich habe meinen Server direkt am Netz und habe dann natürlich einige Sicherheitsma...

HeroFeat 25. Sep 2018

Deswegen wird sicherlich keiner anfangen jeder Seite eine eigene IP zuzuweisen. So viele...


Folgen Sie uns
       


Golem-Akademie - Trainer Stefan stellt sich vor

Rund 20 Jahre Erfahrung als Manager und Mitglied der Geschäftsleitung im internationalen Kontext sowie als Berater sind die Basis seiner Trainings. Der Diplom-Ingenieur Stefan Bayer hat als Mitarbeiter der ersten Stunde bei Amazon.de den Servicegedanken in der kompletten Supply Chain in Deutschland entscheidend mitgeprägt und bis zu 4.500 Menschen geführt. Er ist als Trainer und Coach spezialisiert auf die Begleitung von Führungskräften und Management-Teams sowie auf prozessorientierte Trainings.

Golem-Akademie - Trainer Stefan stellt sich vor Video aufrufen
Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2

    •  /