Abo
  • IT-Karriere:

TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

Artikel veröffentlicht am , Hanno Böck
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome.
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons/CC-BY-SA 3.0)

Mal wieder sorgt eine Security-Anwendung für Ärger, weil diese mittels Man-in-the-Middle-Angriffen verschlüsselten HTTPS-Datenverkehr mitliest. Wie aus einem Thread im Supportforum von Sophos hervorgeht, sehen Kunden gerade nur eine Zertifikatswarnung.

Chrome 58 ignoriert CommonName

Stellenmarkt
  1. Evangelische Kirche in Hessen und Nassau, Darmstadt
  2. Schöck Bauteile GmbH, Baden-Baden

Der Grund: Google hat in der kürzlich veröffentlichten Version 58 von Chrome die Unterstützung für den sogenannten CommonName in Zertifikaten abgeschafft. Es gibt zwei Möglichkeiten, Hostnamen in Zertifikaten zu speichern: Neben dem CommonName-Feld gibt es das Feld "SubjectAltName" (SAN) in Zertifikaten. Der Vorteil von SAN: Dort können auch mehrere Hostnamen angegeben werden, so kann ein Zertifikat etwa für mehrere Subdomains oder auch für voneinander unabhängige Domains genutzt werden.

Bereits der im Jahr 2000 veröffentlichte RFC 2818, der HTTPS offiziell spezifizierte, sagt, dass CommonName veraltet ist und nur noch aus Kompatibilitätsgründen genutzt werden sollte. Alle Zertifikate, die von gängigen Zertifizierungsstellen ausgestellt werden, haben daher ihre Domainnamen im SubjectAltName-Feld stehen. Doch die Zertifikate, die von der UTM-Firewall von Sophos beim Verbindungsaufbau ausgestellt werden, enthalten kein SubjectAltName-Feld - und werden daher von Chrome nicht mehr akzeptiert.

Chrome-Entwickler Ryan Sleevi hatte diese Änderung im Januar angekündigt. Eric Lawrence, ebenfalls ein Chrome-Entwickler, hatte vor kurzem noch einen ausführlichen Blogpost zum Thema geschrieben. Bei Sophos hat man davon aber offenbar nichts mitbekommen.

Ein Sophos-Entwickler bestätigt im Forum das Problem. Nutzern wird empfohlen, entweder die HTTPS-Scanning-Funktion vorerst auszuschalten, einen anderen Browser zu nutzen oder mittels einer speziellen Option in Chrome die Unterstützung wieder zu aktivieren. Ein Update gibt es bislang nicht.

Bei HTTPS-Interception-Lösungen wie der Sophos-Firewall wird im Browser ein zusätzliches Root-Zertifikat installiert, die Security-Appliance erstellt dann für jede besuchte HTTPS-Webseite ein neues Zertifikat, das von diesem Root-Zertifikat signiert ist.

Immer wieder Ärger mit HTTPS-Interception

Solche Produkte sind umstritten und sorgen immer wieder für Probleme. Erst vor kurzem verhinderten Bluecoat-Appliances die Unterstützung von TLS 1.3 in Chrome. Immer wieder haben derartige Systeme auch gravierende Sicherheitslücken, kürzlich warnte das US-CERT davor. Eine Anfang des Jahres veröffentlichte Studie, die Sicherheitsprobleme in derartigen Produkten untersuchte, gab auch der Sophos-Firewall lediglich ein "C", da diese den unsicheren RC4-Algorithmus weiterhin anbot.

Ein Vorschlag, die Traffic-Interception zu einem offiziellen Teil von TLS zu machen und als Protokollerweiterung anzubieten, wurde kürzlich unter dem Namen mcTLS vorgestellt. Große Resonanz gab es dazu aber bisher nicht. In der TLS-Arbeitsgruppe der IETF war mcTLS bisher kein Thema.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 344,00€

DitOlm 27. Apr 2017

Heute rausgekommen: https://community.sophos.com/products/unified-threat-management/b/utm...

quineloe 24. Apr 2017

Sehe ich das richtig, dass die da von Hand mit der Heißklebepistole die USB Ports zerstören?

My1 24. Apr 2017

dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten...

peter.kleibert 24. Apr 2017

Nur unter der Auflage, dass der User darüber informiert wurde, dürfen unbegründete...

Bone Balboa 23. Apr 2017

Das geht nur, wenn Du den IE benutzt. Der überprüft die Zertifikatskette nicht, zumindest...


Folgen Sie uns
       


Wasserstoff-Mercedes GLC F-Cell im Test

Der Mercedes GLC F-Cell ist eines der wenigen Serienfahrzeuge mit Brennstoffzellenantrieb. Wir haben das Auto getestet.

Wasserstoff-Mercedes GLC F-Cell im Test Video aufrufen
Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

    •  /