TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

Artikel veröffentlicht am , Hanno Böck
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome.
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons/CC-BY-SA 3.0)

Mal wieder sorgt eine Security-Anwendung für Ärger, weil diese mittels Man-in-the-Middle-Angriffen verschlüsselten HTTPS-Datenverkehr mitliest. Wie aus einem Thread im Supportforum von Sophos hervorgeht, sehen Kunden gerade nur eine Zertifikatswarnung.

Chrome 58 ignoriert CommonName

Der Grund: Google hat in der kürzlich veröffentlichten Version 58 von Chrome die Unterstützung für den sogenannten CommonName in Zertifikaten abgeschafft. Es gibt zwei Möglichkeiten, Hostnamen in Zertifikaten zu speichern: Neben dem CommonName-Feld gibt es das Feld "SubjectAltName" (SAN) in Zertifikaten. Der Vorteil von SAN: Dort können auch mehrere Hostnamen angegeben werden, so kann ein Zertifikat etwa für mehrere Subdomains oder auch für voneinander unabhängige Domains genutzt werden.

Bereits der im Jahr 2000 veröffentlichte RFC 2818, der HTTPS offiziell spezifizierte, sagt, dass CommonName veraltet ist und nur noch aus Kompatibilitätsgründen genutzt werden sollte. Alle Zertifikate, die von gängigen Zertifizierungsstellen ausgestellt werden, haben daher ihre Domainnamen im SubjectAltName-Feld stehen. Doch die Zertifikate, die von der UTM-Firewall von Sophos beim Verbindungsaufbau ausgestellt werden, enthalten kein SubjectAltName-Feld - und werden daher von Chrome nicht mehr akzeptiert.

Chrome-Entwickler Ryan Sleevi hatte diese Änderung im Januar angekündigt. Eric Lawrence, ebenfalls ein Chrome-Entwickler, hatte vor kurzem noch einen ausführlichen Blogpost zum Thema geschrieben. Bei Sophos hat man davon aber offenbar nichts mitbekommen.

Ein Sophos-Entwickler bestätigt im Forum das Problem. Nutzern wird empfohlen, entweder die HTTPS-Scanning-Funktion vorerst auszuschalten, einen anderen Browser zu nutzen oder mittels einer speziellen Option in Chrome die Unterstützung wieder zu aktivieren. Ein Update gibt es bislang nicht.

Bei HTTPS-Interception-Lösungen wie der Sophos-Firewall wird im Browser ein zusätzliches Root-Zertifikat installiert, die Security-Appliance erstellt dann für jede besuchte HTTPS-Webseite ein neues Zertifikat, das von diesem Root-Zertifikat signiert ist.

Immer wieder Ärger mit HTTPS-Interception

Solche Produkte sind umstritten und sorgen immer wieder für Probleme. Erst vor kurzem verhinderten Bluecoat-Appliances die Unterstützung von TLS 1.3 in Chrome. Immer wieder haben derartige Systeme auch gravierende Sicherheitslücken, kürzlich warnte das US-CERT davor. Eine Anfang des Jahres veröffentlichte Studie, die Sicherheitsprobleme in derartigen Produkten untersuchte, gab auch der Sophos-Firewall lediglich ein "C", da diese den unsicheren RC4-Algorithmus weiterhin anbot.

Ein Vorschlag, die Traffic-Interception zu einem offiziellen Teil von TLS zu machen und als Protokollerweiterung anzubieten, wurde kürzlich unter dem Namen mcTLS vorgestellt. Große Resonanz gab es dazu aber bisher nicht. In der TLS-Arbeitsgruppe der IETF war mcTLS bisher kein Thema.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


DitOlm 27. Apr 2017

Heute rausgekommen: https://community.sophos.com/products/unified-threat-management/b/utm...

quineloe 24. Apr 2017

Sehe ich das richtig, dass die da von Hand mit der Heißklebepistole die USB Ports zerstören?

My1 24. Apr 2017

dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten...

peter.kleibert 24. Apr 2017

Nur unter der Auflage, dass der User darüber informiert wurde, dürfen unbegründete...



Aktuell auf der Startseite von Golem.de
Discounter
Netto bringt Balkonkraftwerk mit 820 Watt Peak

Netto hat ein Balkonkraftwerk mit 820 Watt (Peak) im Angebot, das direkt an eine Steckdose angeschlossen werden kann und die Stromrechnung reduzieren soll.

Discounter: Netto bringt Balkonkraftwerk mit 820 Watt Peak
Artikel
  1. OpenAI: ChatGPT-Firma lässt Programmierer die KI trainieren
    OpenAI
    ChatGPT-Firma lässt Programmierer die KI trainieren

    OpenAI, das Unternehmen hinter ChatGPT, hat Hunderte von Freiberuflern aus Schwellenländern zum Trainieren von Programmierfähigkeiten der KI eingesetzt.

  2. Arbeit im Support: Von der Kunst, Menschen und Technik zu jonglieren
    Arbeit im Support
    Von der Kunst, Menschen und Technik zu jonglieren

    Geht nicht, gibt's oft - und dann klingelt das Telefon beim Support. Das Spektrum der Probleme ist gewaltig und die Ansprüche an einen guten Support auch. Ein Leitfaden für (angehende) Supportmitarbeiter.
    Ein Ratgebertext von Lutz Olav Däumling

  3. Raumfahrtkonzept: Schnellere Weltraumreisen durch Pellet-Strahlenantrieb
    Raumfahrtkonzept
    Schnellere Weltraumreisen durch Pellet-Strahlenantrieb

    Die Nasa fördert innovative Konzepte für die Raumfahrt. Darunter eines, dass Weltraumreisen viel schneller machen soll.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 980 PRO 1TB Heatsink 111€ • Patriot Viper VPN100 2TB 123,89€ • Corsair Ironclaw RGB Wireless 54€ • Alternate: Weekend Sale • WSV bei MediaMarkt • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM-/Graka-Preisrutsch [Werbung]
    •  /