TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

Artikel veröffentlicht am , Hanno Böck
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome.
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons/CC-BY-SA 3.0)

Mal wieder sorgt eine Security-Anwendung für Ärger, weil diese mittels Man-in-the-Middle-Angriffen verschlüsselten HTTPS-Datenverkehr mitliest. Wie aus einem Thread im Supportforum von Sophos hervorgeht, sehen Kunden gerade nur eine Zertifikatswarnung.

Chrome 58 ignoriert CommonName

Stellenmarkt
  1. Junior Consultant Logistikprozesse E-Commerce (m/w/d)
    Lidl Digital, Neckarsulm
  2. (Junior) Integration Developer (m/w/d)
    Frankfurter Allgemeine Zeitung GmbH (F.A.Z.), Frankfurt am Main
Detailsuche

Der Grund: Google hat in der kürzlich veröffentlichten Version 58 von Chrome die Unterstützung für den sogenannten CommonName in Zertifikaten abgeschafft. Es gibt zwei Möglichkeiten, Hostnamen in Zertifikaten zu speichern: Neben dem CommonName-Feld gibt es das Feld "SubjectAltName" (SAN) in Zertifikaten. Der Vorteil von SAN: Dort können auch mehrere Hostnamen angegeben werden, so kann ein Zertifikat etwa für mehrere Subdomains oder auch für voneinander unabhängige Domains genutzt werden.

Bereits der im Jahr 2000 veröffentlichte RFC 2818, der HTTPS offiziell spezifizierte, sagt, dass CommonName veraltet ist und nur noch aus Kompatibilitätsgründen genutzt werden sollte. Alle Zertifikate, die von gängigen Zertifizierungsstellen ausgestellt werden, haben daher ihre Domainnamen im SubjectAltName-Feld stehen. Doch die Zertifikate, die von der UTM-Firewall von Sophos beim Verbindungsaufbau ausgestellt werden, enthalten kein SubjectAltName-Feld - und werden daher von Chrome nicht mehr akzeptiert.

Chrome-Entwickler Ryan Sleevi hatte diese Änderung im Januar angekündigt. Eric Lawrence, ebenfalls ein Chrome-Entwickler, hatte vor kurzem noch einen ausführlichen Blogpost zum Thema geschrieben. Bei Sophos hat man davon aber offenbar nichts mitbekommen.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
  2. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
Weitere IT-Trainings

Ein Sophos-Entwickler bestätigt im Forum das Problem. Nutzern wird empfohlen, entweder die HTTPS-Scanning-Funktion vorerst auszuschalten, einen anderen Browser zu nutzen oder mittels einer speziellen Option in Chrome die Unterstützung wieder zu aktivieren. Ein Update gibt es bislang nicht.

Bei HTTPS-Interception-Lösungen wie der Sophos-Firewall wird im Browser ein zusätzliches Root-Zertifikat installiert, die Security-Appliance erstellt dann für jede besuchte HTTPS-Webseite ein neues Zertifikat, das von diesem Root-Zertifikat signiert ist.

Immer wieder Ärger mit HTTPS-Interception

Solche Produkte sind umstritten und sorgen immer wieder für Probleme. Erst vor kurzem verhinderten Bluecoat-Appliances die Unterstützung von TLS 1.3 in Chrome. Immer wieder haben derartige Systeme auch gravierende Sicherheitslücken, kürzlich warnte das US-CERT davor. Eine Anfang des Jahres veröffentlichte Studie, die Sicherheitsprobleme in derartigen Produkten untersuchte, gab auch der Sophos-Firewall lediglich ein "C", da diese den unsicheren RC4-Algorithmus weiterhin anbot.

Ein Vorschlag, die Traffic-Interception zu einem offiziellen Teil von TLS zu machen und als Protokollerweiterung anzubieten, wurde kürzlich unter dem Namen mcTLS vorgestellt. Große Resonanz gab es dazu aber bisher nicht. In der TLS-Arbeitsgruppe der IETF war mcTLS bisher kein Thema.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


DitOlm 27. Apr 2017

Heute rausgekommen: https://community.sophos.com/products/unified-threat-management/b/utm...

quineloe 24. Apr 2017

Sehe ich das richtig, dass die da von Hand mit der Heißklebepistole die USB Ports zerstören?

My1 24. Apr 2017

dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten...

peter.kleibert 24. Apr 2017

Nur unter der Auflage, dass der User darüber informiert wurde, dürfen unbegründete...

Bone Balboa 23. Apr 2017

Das geht nur, wenn Du den IE benutzt. Der überprüft die Zertifikatskette nicht, zumindest...



Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Dice: Update-Roadmap für Battlefield 2042 vorgestellt
    Dice
    Update-Roadmap für Battlefield 2042 vorgestellt

    Ob das reicht? Das Entwicklerstudio Dice hat seine Pläne für Battlefield 2042 vorgestellt. Der Shooter hat extrem niedrige Spielerzahlen.

  3. Energiespeicher: Große Druckluftspeicher locken Investorengelder an
    Energiespeicher
    Große Druckluftspeicher locken Investorengelder an

    Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
    Von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /