Abo
  • Services:
Anzeige
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome.
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons/CC-BY-SA 3.0)

TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome.
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons/CC-BY-SA 3.0)

Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

Mal wieder sorgt eine Security-Anwendung für Ärger, weil diese mittels Man-in-the-Middle-Angriffen verschlüsselten HTTPS-Datenverkehr mitliest. Wie aus einem Thread im Supportforum von Sophos hervorgeht, sehen Kunden gerade nur eine Zertifikatswarnung.

Anzeige

Chrome 58 ignoriert CommonName

Der Grund: Google hat in der kürzlich veröffentlichten Version 58 von Chrome die Unterstützung für den sogenannten CommonName in Zertifikaten abgeschafft. Es gibt zwei Möglichkeiten, Hostnamen in Zertifikaten zu speichern: Neben dem CommonName-Feld gibt es das Feld "SubjectAltName" (SAN) in Zertifikaten. Der Vorteil von SAN: Dort können auch mehrere Hostnamen angegeben werden, so kann ein Zertifikat etwa für mehrere Subdomains oder auch für voneinander unabhängige Domains genutzt werden.

Bereits der im Jahr 2000 veröffentlichte RFC 2818, der HTTPS offiziell spezifizierte, sagt, dass CommonName veraltet ist und nur noch aus Kompatibilitätsgründen genutzt werden sollte. Alle Zertifikate, die von gängigen Zertifizierungsstellen ausgestellt werden, haben daher ihre Domainnamen im SubjectAltName-Feld stehen. Doch die Zertifikate, die von der UTM-Firewall von Sophos beim Verbindungsaufbau ausgestellt werden, enthalten kein SubjectAltName-Feld - und werden daher von Chrome nicht mehr akzeptiert.

Chrome-Entwickler Ryan Sleevi hatte diese Änderung im Januar angekündigt. Eric Lawrence, ebenfalls ein Chrome-Entwickler, hatte vor kurzem noch einen ausführlichen Blogpost zum Thema geschrieben. Bei Sophos hat man davon aber offenbar nichts mitbekommen.

Ein Sophos-Entwickler bestätigt im Forum das Problem. Nutzern wird empfohlen, entweder die HTTPS-Scanning-Funktion vorerst auszuschalten, einen anderen Browser zu nutzen oder mittels einer speziellen Option in Chrome die Unterstützung wieder zu aktivieren. Ein Update gibt es bislang nicht.

Bei HTTPS-Interception-Lösungen wie der Sophos-Firewall wird im Browser ein zusätzliches Root-Zertifikat installiert, die Security-Appliance erstellt dann für jede besuchte HTTPS-Webseite ein neues Zertifikat, das von diesem Root-Zertifikat signiert ist.

Immer wieder Ärger mit HTTPS-Interception

Solche Produkte sind umstritten und sorgen immer wieder für Probleme. Erst vor kurzem verhinderten Bluecoat-Appliances die Unterstützung von TLS 1.3 in Chrome. Immer wieder haben derartige Systeme auch gravierende Sicherheitslücken, kürzlich warnte das US-CERT davor. Eine Anfang des Jahres veröffentlichte Studie, die Sicherheitsprobleme in derartigen Produkten untersuchte, gab auch der Sophos-Firewall lediglich ein "C", da diese den unsicheren RC4-Algorithmus weiterhin anbot.

Ein Vorschlag, die Traffic-Interception zu einem offiziellen Teil von TLS zu machen und als Protokollerweiterung anzubieten, wurde kürzlich unter dem Namen mcTLS vorgestellt. Große Resonanz gab es dazu aber bisher nicht. In der TLS-Arbeitsgruppe der IETF war mcTLS bisher kein Thema.


eye home zur Startseite
DitOlm 27. Apr 2017

Heute rausgekommen: https://community.sophos.com/products/unified-threat-management/b/utm...

quineloe 24. Apr 2017

Sehe ich das richtig, dass die da von Hand mit der Heißklebepistole die USB Ports zerstören?

My1 24. Apr 2017

dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten...

peter.kleibert 24. Apr 2017

Nur unter der Auflage, dass der User darüber informiert wurde, dürfen unbegründete...

Bone Balboa 23. Apr 2017

Das geht nur, wenn Du den IE benutzt. Der überprüft die Zertifikatskette nicht, zumindest...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Deloitte, Stuttgart, Frankfurt, Düsseldorf, München, Hamburg
  3. HUK-COBURG Versicherungsgruppe, Coburg
  4. PAUL HARTMANN AG, Heidenheim an der Brenz


Anzeige
Spiele-Angebote
  1. 15,29€
  2. 25,99€
  3. 315,00€

Folgen Sie uns
       


  1. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  2. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  3. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  4. PC

    Geld für Intel Inside wird stark gekürzt

  5. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  6. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  7. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  8. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  9. Lohn

    Streik bei Amazon an zwei Standorten

  10. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Re: Golem Was soll das? Überschrift geht ja garnicht

    Tigtor | 18:19

  2. Re: Redmi Note 4

    androidfanboy1882 | 18:14

  3. Re: Glasfaser an die vorhandenen Masten hängen

    GeeGee | 18:10

  4. Re: Überschriften wollen gelernt sein

    violator | 18:07

  5. Re: Wenn's Geld einbringt, dann eher gegen die...

    Ganta | 18:07


  1. 17:01

  2. 16:38

  3. 16:00

  4. 15:29

  5. 15:16

  6. 14:50

  7. 14:25

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel