Abo
  • Services:

TLS: IETF beschwert sich über Namensmissbrauch von ETLS

Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.

Artikel veröffentlicht am , Hanno Böck
Zeigt sich wenig erfreut über ETLS: Die Standardisierungsorganisation IETF beschwert sich bei den Kollegen von der ETSI.
Zeigt sich wenig erfreut über ETLS: Die Standardisierungsorganisation IETF beschwert sich bei den Kollegen von der ETSI. (Bild: IETF)

Um den Namen ETLS hat das Europäische Institut für Telekommunikationsnormen (ETSI) vor kurzem eine Variation des TLS-Protokolls veröffentlicht, das eine Überwachung durch Dritte ermöglicht. Die für den Security-Bereich zuständige Internet Engineering Task Force (IETF) ist darüber nicht erfreut und kritisiert insbesondere den Namensbestandteil TLS.

Stellenmarkt
  1. IMD Institut für Medizinische Diagnostik GmbH, Berlin-Steglitz
  2. EUROIMMUN AG, Dassow

Hintergrund: Mehrfach versuchten Vertreter der Industrie, im Rahmen der IETF TLS-Erweiterungen zu spezifizieren, die eine Überwachung des Datenverkehrs durch Dritte mit einem statischen Schlüssel ermöglichen. Das ist mit der jüngsten TLS-Version 1.3 nicht mehr möglich, da immer Schlüsselaustauschverfahren mit Forward Secrecy verwendet werden. Bei der IETF wurden diese Vorschläge immer wieder abgelehnt. TLS sei nicht dafür da, anderen das Mitlesen von Verbindungen zu ermöglichen, hieß es in der TLS-Arbeitsgruppe. Bei der europäischen Standardisierungsorganisation ETSI stießen die Industrievertreter auf offenere Ohren, dort entstand ETLS.

ETSI hatte Verzicht auf verwirrenden Namen versprochen

"Die IETF hat das Urheberrecht und die Kontrolle über alle TLS-Spezifikationen. Ein separates, anderes Protokoll, dessen Name TLS enthält, aber von einer anderen Standardisierungsorganisation entwickelt wird, wird vermutlich zu Verwirrung bei Entwicklern, Implementierern und Nutzern führen", erklärten die TLS-Entwickler Eric Rescorla und Benjamin Kaduk.

Offenbar kommunizierte die IETF noch während der Entwicklung des Protokolls diese Befürchtungen an die ETSI. Eine der von der ETSI diskutierten Varianten wurde unter dem Namen mcTLS veröffentlicht. Daraufhin sagte die entsprechende Arbeitsgruppe der ETSI der IETF zu, es sei nicht geplant, den Namen TLS als Namensbestandteil des neuen Protokolls zu nutzen. Daran hielt sie sich nun aber offenbar nicht.

ETLS widerspricht Baseline Requirements

Neben dem fragwürdigen Namen ist das ETLS-Protokoll offenbar auch technisch wenig durchdacht. Daniel Kahn Gillmor von der American Civil Liberty Union (ACLU) weist in einer Diskussion auf der TLS-Mailingliste darauf hin, dass die Art und Weise, in der in ETLS Zertifikate markiert werden sollten, gegen die Zertifikatsregeln des CA/Browser-Forums verstoße, den sogenannten Baseline Requirements. Falls ein solches Zertifikat von einer von Browsern akzeptierten Zertifizierungsstelle ausgestellt würde, müsste es zurückgezogen werden.

Gillmor veröffentlichte einen Entwurf für einen RFC, der empfiehlt, dass TLS-Implementierungen Verbindungen abbrechen sollten, wenn sie ETLS erkannten.

Neben der Zertifikatserweiterung, die wegen der genannten Gründe vermutlich sowieso zumindest bei normalen Webverbindungen nicht nutzbar sein dürfte, lässt sich ETLS auch am statischen Diffie-Hellman-Key erkennen. Allerdings nutzen einige Implementierungen temporäre statische Diffie-Hellman-Keys auch zur Optimierung, daher dürfte das nicht praktikabel sein.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 34,99€
  3. 399€ (Wert der Spiele rund 212€)

Cok3.Zer0 10. Dez 2018

Unternehmen wollen gerade Mitarbeiter-Traffic überwachen.


Folgen Sie uns
       


HP Spectre Folio - Test

Das HP Spectre Folio sieht außergewöhnlich aus, riecht gut und fühlt sich weich an. Das liegt an dem Echtleder, welches das Gehäuse einhüllt. Allerdings zeigen sich im Test die Nachteile des Materials.

HP Spectre Folio - Test Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. EC2 G4 AWS nutzt Nvidias Tesla T4 für Inferencing-Cloud
  2. Zotac Geforce GTX 1660 Ti im Test Gute 1440p-Karte für unter 300 Euro
  3. Nvidia Turing OBS unterstützt Encoder der Geforce RTX

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
FreeNAS und Windows 10
Der erste NAS-Selbstbau macht glücklich

Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
Ein Erfahrungsbericht von Oliver Nickel

  1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

    •  /