Abo
  • IT-Karriere:

TLS: IETF beschwert sich über Namensmissbrauch von ETLS

Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.

Artikel veröffentlicht am , Hanno Böck
Zeigt sich wenig erfreut über ETLS: Die Standardisierungsorganisation IETF beschwert sich bei den Kollegen von der ETSI.
Zeigt sich wenig erfreut über ETLS: Die Standardisierungsorganisation IETF beschwert sich bei den Kollegen von der ETSI. (Bild: IETF)

Um den Namen ETLS hat das Europäische Institut für Telekommunikationsnormen (ETSI) vor kurzem eine Variation des TLS-Protokolls veröffentlicht, das eine Überwachung durch Dritte ermöglicht. Die für den Security-Bereich zuständige Internet Engineering Task Force (IETF) ist darüber nicht erfreut und kritisiert insbesondere den Namensbestandteil TLS.

Stellenmarkt
  1. Villeroy & Boch AG, Mettlach
  2. BSI Systeme GmbH, Mönchengladbach

Hintergrund: Mehrfach versuchten Vertreter der Industrie, im Rahmen der IETF TLS-Erweiterungen zu spezifizieren, die eine Überwachung des Datenverkehrs durch Dritte mit einem statischen Schlüssel ermöglichen. Das ist mit der jüngsten TLS-Version 1.3 nicht mehr möglich, da immer Schlüsselaustauschverfahren mit Forward Secrecy verwendet werden. Bei der IETF wurden diese Vorschläge immer wieder abgelehnt. TLS sei nicht dafür da, anderen das Mitlesen von Verbindungen zu ermöglichen, hieß es in der TLS-Arbeitsgruppe. Bei der europäischen Standardisierungsorganisation ETSI stießen die Industrievertreter auf offenere Ohren, dort entstand ETLS.

ETSI hatte Verzicht auf verwirrenden Namen versprochen

"Die IETF hat das Urheberrecht und die Kontrolle über alle TLS-Spezifikationen. Ein separates, anderes Protokoll, dessen Name TLS enthält, aber von einer anderen Standardisierungsorganisation entwickelt wird, wird vermutlich zu Verwirrung bei Entwicklern, Implementierern und Nutzern führen", erklärten die TLS-Entwickler Eric Rescorla und Benjamin Kaduk.

Offenbar kommunizierte die IETF noch während der Entwicklung des Protokolls diese Befürchtungen an die ETSI. Eine der von der ETSI diskutierten Varianten wurde unter dem Namen mcTLS veröffentlicht. Daraufhin sagte die entsprechende Arbeitsgruppe der ETSI der IETF zu, es sei nicht geplant, den Namen TLS als Namensbestandteil des neuen Protokolls zu nutzen. Daran hielt sie sich nun aber offenbar nicht.

ETLS widerspricht Baseline Requirements

Neben dem fragwürdigen Namen ist das ETLS-Protokoll offenbar auch technisch wenig durchdacht. Daniel Kahn Gillmor von der American Civil Liberty Union (ACLU) weist in einer Diskussion auf der TLS-Mailingliste darauf hin, dass die Art und Weise, in der in ETLS Zertifikate markiert werden sollten, gegen die Zertifikatsregeln des CA/Browser-Forums verstoße, den sogenannten Baseline Requirements. Falls ein solches Zertifikat von einer von Browsern akzeptierten Zertifizierungsstelle ausgestellt würde, müsste es zurückgezogen werden.

Gillmor veröffentlichte einen Entwurf für einen RFC, der empfiehlt, dass TLS-Implementierungen Verbindungen abbrechen sollten, wenn sie ETLS erkannten.

Neben der Zertifikatserweiterung, die wegen der genannten Gründe vermutlich sowieso zumindest bei normalen Webverbindungen nicht nutzbar sein dürfte, lässt sich ETLS auch am statischen Diffie-Hellman-Key erkennen. Allerdings nutzen einige Implementierungen temporäre statische Diffie-Hellman-Keys auch zur Optimierung, daher dürfte das nicht praktikabel sein.



Anzeige
Top-Angebote
  1. (u. a. Lenovo Y25f-10 144 Hz für 159€)
  2. (u. a. Anno 1800 - Sonderausgabe für 33€ und Fast & Furious 6 Steelbook für 4,99€)
  3. (aktuell u. a. Corsair T1 Race 2018 in diversen Farben für 229,90€ + Versand. Bestpreis!)
  4. (heute u. a. mit PlayStation 4 und Samsung-TVs)

Cok3.Zer0 10. Dez 2018

Unternehmen wollen gerade Mitarbeiter-Traffic überwachen.


Folgen Sie uns
       


Gears of War 5 - Fazit

Spektakulär inszenierte Action ist die Spezialität von Gears of War, und natürlich setzt auch Gears 5 auf Bombast und krachende Effekte.

Gears of War 5 - Fazit Video aufrufen
Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

IAA 2019: PS-Wahn statt Visionen
IAA 2019
PS-Wahn statt Visionen

IAA 2019 Alle Autobosse bekennen sich auf der IAA zur Nachhaltigkeit, doch auf den Ständen findet man weiterhin viele große, spritfressende Modelle. Dabei stellt sich die grundsätzliche Frage: Ist das Konzept der Automesse noch zeitgemäß?
Eine Analyse von Dirk Kunde


      •  /