Abo
  • Services:
Anzeige
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome.
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons/CC-BY-SA 3.0)

TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome.
Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons/CC-BY-SA 3.0)

Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

Mal wieder sorgt eine Security-Anwendung für Ärger, weil diese mittels Man-in-the-Middle-Angriffen verschlüsselten HTTPS-Datenverkehr mitliest. Wie aus einem Thread im Supportforum von Sophos hervorgeht, sehen Kunden gerade nur eine Zertifikatswarnung.

Anzeige

Chrome 58 ignoriert CommonName

Der Grund: Google hat in der kürzlich veröffentlichten Version 58 von Chrome die Unterstützung für den sogenannten CommonName in Zertifikaten abgeschafft. Es gibt zwei Möglichkeiten, Hostnamen in Zertifikaten zu speichern: Neben dem CommonName-Feld gibt es das Feld "SubjectAltName" (SAN) in Zertifikaten. Der Vorteil von SAN: Dort können auch mehrere Hostnamen angegeben werden, so kann ein Zertifikat etwa für mehrere Subdomains oder auch für voneinander unabhängige Domains genutzt werden.

Bereits der im Jahr 2000 veröffentlichte RFC 2818, der HTTPS offiziell spezifizierte, sagt, dass CommonName veraltet ist und nur noch aus Kompatibilitätsgründen genutzt werden sollte. Alle Zertifikate, die von gängigen Zertifizierungsstellen ausgestellt werden, haben daher ihre Domainnamen im SubjectAltName-Feld stehen. Doch die Zertifikate, die von der UTM-Firewall von Sophos beim Verbindungsaufbau ausgestellt werden, enthalten kein SubjectAltName-Feld - und werden daher von Chrome nicht mehr akzeptiert.

Chrome-Entwickler Ryan Sleevi hatte diese Änderung im Januar angekündigt. Eric Lawrence, ebenfalls ein Chrome-Entwickler, hatte vor kurzem noch einen ausführlichen Blogpost zum Thema geschrieben. Bei Sophos hat man davon aber offenbar nichts mitbekommen.

Ein Sophos-Entwickler bestätigt im Forum das Problem. Nutzern wird empfohlen, entweder die HTTPS-Scanning-Funktion vorerst auszuschalten, einen anderen Browser zu nutzen oder mittels einer speziellen Option in Chrome die Unterstützung wieder zu aktivieren. Ein Update gibt es bislang nicht.

Bei HTTPS-Interception-Lösungen wie der Sophos-Firewall wird im Browser ein zusätzliches Root-Zertifikat installiert, die Security-Appliance erstellt dann für jede besuchte HTTPS-Webseite ein neues Zertifikat, das von diesem Root-Zertifikat signiert ist.

Immer wieder Ärger mit HTTPS-Interception

Solche Produkte sind umstritten und sorgen immer wieder für Probleme. Erst vor kurzem verhinderten Bluecoat-Appliances die Unterstützung von TLS 1.3 in Chrome. Immer wieder haben derartige Systeme auch gravierende Sicherheitslücken, kürzlich warnte das US-CERT davor. Eine Anfang des Jahres veröffentlichte Studie, die Sicherheitsprobleme in derartigen Produkten untersuchte, gab auch der Sophos-Firewall lediglich ein "C", da diese den unsicheren RC4-Algorithmus weiterhin anbot.

Ein Vorschlag, die Traffic-Interception zu einem offiziellen Teil von TLS zu machen und als Protokollerweiterung anzubieten, wurde kürzlich unter dem Namen mcTLS vorgestellt. Große Resonanz gab es dazu aber bisher nicht. In der TLS-Arbeitsgruppe der IETF war mcTLS bisher kein Thema.


eye home zur Startseite
DitOlm 27. Apr 2017

Heute rausgekommen: https://community.sophos.com/products/unified-threat-management/b/utm...

quineloe 24. Apr 2017

Sehe ich das richtig, dass die da von Hand mit der Heißklebepistole die USB Ports zerstören?

My1 24. Apr 2017

dass bspw wenn der proxy nur die domains und certs anschaut, keine allzu geheimen daten...

peter.kleibert 24. Apr 2017

Nur unter der Auflage, dass der User darüber informiert wurde, dürfen unbegründete...

Bone Balboa 23. Apr 2017

Das geht nur, wenn Du den IE benutzt. Der überprüft die Zertifikatskette nicht, zumindest...



Anzeige

Stellenmarkt
  1. Pneuhage Management GmbH & Co. KG, Karlsruhe
  2. BRZ Deutschland GmbH, Nürnberg
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. IT Baden-Württemberg (BITBW), Stuttgart


Anzeige
Blu-ray-Angebote
  1. 49,99€ mit Vorbesteller-Preisgarantie
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Sollten lieber den Desktop komplett an MacOS...

    ML82 | 04:59

  2. Re: 23 Elektroautos bis zum Jahr 2013

    maxule | 04:43

  3. Gute Wahl

    Ach | 04:38

  4. Re: Wie das zertifiziert wurde ist sehr leicht...

    ML82 | 04:00

  5. Ich bin mittlerweile wieder Windows/OSX Nutzer.

    ilovekuchen | 02:43


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel