TLS: IETF beschwert sich über Namensmissbrauch von ETLS

Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.

Artikel veröffentlicht am , Hanno Böck
Zeigt sich wenig erfreut über ETLS: Die Standardisierungsorganisation IETF beschwert sich bei den Kollegen von der ETSI.
Zeigt sich wenig erfreut über ETLS: Die Standardisierungsorganisation IETF beschwert sich bei den Kollegen von der ETSI. (Bild: IETF)

Um den Namen ETLS hat das Europäische Institut für Telekommunikationsnormen (ETSI) vor kurzem eine Variation des TLS-Protokolls veröffentlicht, das eine Überwachung durch Dritte ermöglicht. Die für den Security-Bereich zuständige Internet Engineering Task Force (IETF) ist darüber nicht erfreut und kritisiert insbesondere den Namensbestandteil TLS.

Stellenmarkt
  1. Senior Software Engineer (m/f/d)
    softgarden e-recruiting gmbh, Saarbrücken
  2. Senior Software Developer (m/w / divers)
    Continental AG, Villingen
Detailsuche

Hintergrund: Mehrfach versuchten Vertreter der Industrie, im Rahmen der IETF TLS-Erweiterungen zu spezifizieren, die eine Überwachung des Datenverkehrs durch Dritte mit einem statischen Schlüssel ermöglichen. Das ist mit der jüngsten TLS-Version 1.3 nicht mehr möglich, da immer Schlüsselaustauschverfahren mit Forward Secrecy verwendet werden. Bei der IETF wurden diese Vorschläge immer wieder abgelehnt. TLS sei nicht dafür da, anderen das Mitlesen von Verbindungen zu ermöglichen, hieß es in der TLS-Arbeitsgruppe. Bei der europäischen Standardisierungsorganisation ETSI stießen die Industrievertreter auf offenere Ohren, dort entstand ETLS.

ETSI hatte Verzicht auf verwirrenden Namen versprochen

"Die IETF hat das Urheberrecht und die Kontrolle über alle TLS-Spezifikationen. Ein separates, anderes Protokoll, dessen Name TLS enthält, aber von einer anderen Standardisierungsorganisation entwickelt wird, wird vermutlich zu Verwirrung bei Entwicklern, Implementierern und Nutzern führen", erklärten die TLS-Entwickler Eric Rescorla und Benjamin Kaduk.

Offenbar kommunizierte die IETF noch während der Entwicklung des Protokolls diese Befürchtungen an die ETSI. Eine der von der ETSI diskutierten Varianten wurde unter dem Namen mcTLS veröffentlicht. Daraufhin sagte die entsprechende Arbeitsgruppe der ETSI der IETF zu, es sei nicht geplant, den Namen TLS als Namensbestandteil des neuen Protokolls zu nutzen. Daran hielt sie sich nun aber offenbar nicht.

ETLS widerspricht Baseline Requirements

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    08.-10.06.2022, Virtuell
Weitere IT-Trainings

Neben dem fragwürdigen Namen ist das ETLS-Protokoll offenbar auch technisch wenig durchdacht. Daniel Kahn Gillmor von der American Civil Liberty Union (ACLU) weist in einer Diskussion auf der TLS-Mailingliste darauf hin, dass die Art und Weise, in der in ETLS Zertifikate markiert werden sollten, gegen die Zertifikatsregeln des CA/Browser-Forums verstoße, den sogenannten Baseline Requirements. Falls ein solches Zertifikat von einer von Browsern akzeptierten Zertifizierungsstelle ausgestellt würde, müsste es zurückgezogen werden.

Gillmor veröffentlichte einen Entwurf für einen RFC, der empfiehlt, dass TLS-Implementierungen Verbindungen abbrechen sollten, wenn sie ETLS erkannten.

Neben der Zertifikatserweiterung, die wegen der genannten Gründe vermutlich sowieso zumindest bei normalen Webverbindungen nicht nutzbar sein dürfte, lässt sich ETLS auch am statischen Diffie-Hellman-Key erkennen. Allerdings nutzen einige Implementierungen temporäre statische Diffie-Hellman-Keys auch zur Optimierung, daher dürfte das nicht praktikabel sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  2. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /