Abo
  • IT-Karriere:

TLS: Mozilla, Cloudflare und Apple wollen verschlüsselte SNI

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

Artikel veröffentlicht am ,
TLS soll SNI künftig auch verschlüsselt unterstützen.
TLS soll SNI künftig auch verschlüsselt unterstützen. (Bild: Pixabay/CC0 1.0)

Obwohl Version 1.3 der Netzverschlüsselung TLS fast alle Teile des Verbindungsaufbaus beim Handshake verschlüsselt, gebe es für Angreifer, die die Verbindung belauschen können, immer noch einige Wege, den Domainnamen zu bestimmen, mit dem sich ein Nutzer verbinden will. Diese Problembeschreibung stammt aus einem aktuellen Entwurf der Internet Engineering Task Force (IETF), der dieses Problem lösen soll, indem die TLS-Erweiterung SNI verschlüsselt wird. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple.

Stellenmarkt
  1. EXTRA Computer GmbH, Giengen an der Brenz
  2. dSPACE GmbH, Paderborn

SNI steht für Server Name Indication und ist erstmals 2003 als Standard veröffentlicht worden. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

Servername bisher unverschlüsselt

Der Parameter server_name wird bisher jedoch unverschlüsselt übertragen, so dass sich vom Angreifer vergleichsweise leicht darauf schließen lässt, welche Webseiten ein Nutzer besucht. Die TLS-Arbeitsgruppe der IETF hat sich bereits mehrfach mit diesem Problem beschäftigt, bisher jedoch noch keine allgemeingültige Lösung als Standard erarbeiten können.

In dem aktuellen Entwurf heißt es zu dem vermutlich größten Problem mit den bisherigen Bemühungen um einen SNI-Schutz: "Wenn nur private Dienste eine SNI-Verschlüsselung verwenden, dann ist die SNI-Verschlüsselung ein Zeichen dafür, dass sich ein Client mit eben einem solchen Dienst verbindet. Aus diesem Grund konzentrieren sich viele neuere Arbeiten darauf, die Tatsache zu verbergen, dass SNI geschützt wird. Leider hat das oft unerwünschte Leistungseinbußen, eine unvollständige Abdeckung oder beides zum Ergebnis."

Das nun vorgestellte Design verfolge jedoch einen anderen Ansatz. Es wird davon ausgegangen, dass sich private Dienste hinter einem Anbieter wie einem CDN oder App-Server befinden oder diese Dienste vom Anbieter verborgen werden. Die Anbieter können so die SNI-Verschlüsselung (ESNI) für alle Domains aktivieren.

SNI-Verschlüsselung dank DNS

Der Entwurf sieht vor, dass die Dienste- und Server-Anbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Falls Clients der privaten Server spezialisierte Anwendungen seien - statt Browser -, könnten die öffentlichen Schlüssel etwa von solch einer Anwendung vorkonfiguriert ausgeliefert werden.

Zur Veröffentlichung der Schlüssel per DNS sieht der Entwurf einen neuen TXT-Record vor, in dem die Schlüssel gesammelt bereitgestellt werden. TLS-Clients erhalten die Schlüssel dann also direkt über eine DNS-Abfrage. Zum Absichern der DNS-Abfrage selbst verweist der Entwurf auf Techniken wie etwa DNS über HTTPS (DoH). ESNI wäre ohne derartige Techniken auch nur wenig hilfreich, heißt es in dem Entwurf.

Die Beteiligten wollen den Vorschlag auf dem IETF Meeting 102 diskutieren, das zurzeit in Montreal stattfindet. Nick Sullivan, Head of Cryptography bei Cloudflare, schreibt darüber hinaus auf Twitter, dass es bereits Implementierungen des Entwurfs für BoringSSL, NSS und Picotls gebe sowie dazugehörigen Testserver.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 529€
  3. 279,90€

My1 17. Jul 2018

DNSSec sollte man sowieso haben um sich als Domaininhaber vor Bösen DNS Servern...

ikhaya 16. Jul 2018

Man fragt ja nicht jeden Record jedes mal an.

RipClaw 16. Jul 2018

Und wie generierst du die Konfiguration vom Reverse Proxy ? Oder verkaufst du den Kram...

My1 16. Jul 2018

dazu kann man sich auch n IP cert holen. (dann spart man sich hostnamen im gamen für DNS.


Folgen Sie uns
       


Acer Predator Helios 700 - Hands on (Ifa 2019)

Was für ein skurriles Gerät: Golem.de schaut sich das Gaming-Notebook Predator Triton 700 von Acer an und probiert die Schiebetastatur aus.

Acer Predator Helios 700 - Hands on (Ifa 2019) Video aufrufen
iPhone 11 im Test: Zwei Kameras beim iPhone reichen
iPhone 11 im Test
Zwei Kameras beim iPhone reichen

Das iPhone Xr war der heimliche Verkaufsschlager der letzten iPhone-Generation, mit dem iPhone 11 bekommt das Gerät nun einen Nachfolger. Im Test zeigt sich, dass Käufer auf die Kamerafunktionen der Pro-Modelle nicht verzichten müssen, uns stört auch das fehlende dritte Objektiv nicht - im Gegensatz zum Display.
Ein Test von Tobias Költzsch

  1. Tim Cook Apple-CEO verteidigt die Sperrung der Hongkong-Protestapp
  2. China Apple entfernt Hongkonger Protest-App aus App Store
  3. Smartphone Apple bietet kostenlose Reparatur für iPhone 6S an

iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

    •  /