Abo
  • IT-Karriere:

TLS: Mozilla, Cloudflare und Apple wollen verschlüsselte SNI

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

Artikel veröffentlicht am ,
TLS soll SNI künftig auch verschlüsselt unterstützen.
TLS soll SNI künftig auch verschlüsselt unterstützen. (Bild: Pixabay/CC0 1.0)

Obwohl Version 1.3 der Netzverschlüsselung TLS fast alle Teile des Verbindungsaufbaus beim Handshake verschlüsselt, gebe es für Angreifer, die die Verbindung belauschen können, immer noch einige Wege, den Domainnamen zu bestimmen, mit dem sich ein Nutzer verbinden will. Diese Problembeschreibung stammt aus einem aktuellen Entwurf der Internet Engineering Task Force (IETF), der dieses Problem lösen soll, indem die TLS-Erweiterung SNI verschlüsselt wird. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple.

Stellenmarkt
  1. msg DAVID GmbH, Braunschweig
  2. Dataport, verschiedene Standorte

SNI steht für Server Name Indication und ist erstmals 2003 als Standard veröffentlicht worden. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

Servername bisher unverschlüsselt

Der Parameter server_name wird bisher jedoch unverschlüsselt übertragen, so dass sich vom Angreifer vergleichsweise leicht darauf schließen lässt, welche Webseiten ein Nutzer besucht. Die TLS-Arbeitsgruppe der IETF hat sich bereits mehrfach mit diesem Problem beschäftigt, bisher jedoch noch keine allgemeingültige Lösung als Standard erarbeiten können.

In dem aktuellen Entwurf heißt es zu dem vermutlich größten Problem mit den bisherigen Bemühungen um einen SNI-Schutz: "Wenn nur private Dienste eine SNI-Verschlüsselung verwenden, dann ist die SNI-Verschlüsselung ein Zeichen dafür, dass sich ein Client mit eben einem solchen Dienst verbindet. Aus diesem Grund konzentrieren sich viele neuere Arbeiten darauf, die Tatsache zu verbergen, dass SNI geschützt wird. Leider hat das oft unerwünschte Leistungseinbußen, eine unvollständige Abdeckung oder beides zum Ergebnis."

Das nun vorgestellte Design verfolge jedoch einen anderen Ansatz. Es wird davon ausgegangen, dass sich private Dienste hinter einem Anbieter wie einem CDN oder App-Server befinden oder diese Dienste vom Anbieter verborgen werden. Die Anbieter können so die SNI-Verschlüsselung (ESNI) für alle Domains aktivieren.

SNI-Verschlüsselung dank DNS

Der Entwurf sieht vor, dass die Dienste- und Server-Anbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Falls Clients der privaten Server spezialisierte Anwendungen seien - statt Browser -, könnten die öffentlichen Schlüssel etwa von solch einer Anwendung vorkonfiguriert ausgeliefert werden.

Zur Veröffentlichung der Schlüssel per DNS sieht der Entwurf einen neuen TXT-Record vor, in dem die Schlüssel gesammelt bereitgestellt werden. TLS-Clients erhalten die Schlüssel dann also direkt über eine DNS-Abfrage. Zum Absichern der DNS-Abfrage selbst verweist der Entwurf auf Techniken wie etwa DNS über HTTPS (DoH). ESNI wäre ohne derartige Techniken auch nur wenig hilfreich, heißt es in dem Entwurf.

Die Beteiligten wollen den Vorschlag auf dem IETF Meeting 102 diskutieren, das zurzeit in Montreal stattfindet. Nick Sullivan, Head of Cryptography bei Cloudflare, schreibt darüber hinaus auf Twitter, dass es bereits Implementierungen des Entwurfs für BoringSSL, NSS und Picotls gebe sowie dazugehörigen Testserver.



Anzeige
Top-Angebote
  1. (u. a. Total war - Three Kingdoms für 35,99€, Command & Conquer - The Ultimate Collection für 4...
  2. (u. a. 20% auf Monitore mit Gutschein: NBBACERMID)

My1 17. Jul 2018

DNSSec sollte man sowieso haben um sich als Domaininhaber vor Bösen DNS Servern...

ikhaya 16. Jul 2018

Man fragt ja nicht jeden Record jedes mal an.

RipClaw 16. Jul 2018

Und wie generierst du die Konfiguration vom Reverse Proxy ? Oder verkaufst du den Kram...

My1 16. Jul 2018

dazu kann man sich auch n IP cert holen. (dann spart man sich hostnamen im gamen für DNS.


Folgen Sie uns
       


Zenbook Pro Duo - Hands on

Braucht man das? Gut aussehen tut das Zenbook Pro Duo jedenfalls.

Zenbook Pro Duo - Hands on Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

    •  /