Abo
  • Services:

TLS: Mozilla, Cloudflare und Apple wollen verschlüsselte SNI

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

Artikel veröffentlicht am ,
TLS soll SNI künftig auch verschlüsselt unterstützen.
TLS soll SNI künftig auch verschlüsselt unterstützen. (Bild: Pixabay/CC0 1.0)

Obwohl Version 1.3 der Netzverschlüsselung TLS fast alle Teile des Verbindungsaufbaus beim Handshake verschlüsselt, gebe es für Angreifer, die die Verbindung belauschen können, immer noch einige Wege, den Domainnamen zu bestimmen, mit dem sich ein Nutzer verbinden will. Diese Problembeschreibung stammt aus einem aktuellen Entwurf der Internet Engineering Task Force (IETF), der dieses Problem lösen soll, indem die TLS-Erweiterung SNI verschlüsselt wird. Unterstützt und vorangetrieben werden die Arbeiten von Mozilla, Fastly, Cloudflare und Apple.

Stellenmarkt
  1. Coup Mobility GmbH, Berlin
  2. SEITENBAU GmbH, Konstanz, Berlin, Köln

SNI steht für Server Name Inidication und ist erstmals 2003 als Standard veröffentlicht worden. Mit Hilfe von SNI soll erreicht werden, dass beliebig viele HTTPS-Webseiten samt eigenen Zertifikaten auf einer IP-Adresse gehostet werden können. Dazu ist der Parameter server_name eingeführt worden, der vom Client beim Verbindungsaufbau an den Server übertragen wird. Mit dieser Information kann der Server das korrekte Zertifikat der angefragten Webseiten auswählen und so eine Verbindung aufbauen.

Servername bisher unverschlüsselt

Der Parameter server_name wird bisher jedoch unverschlüsselt übertragen, so dass sich vom Angreifer vergleichsweise leicht darauf schließen lässt, welche Webseiten ein Nutzer besucht. Die TLS-Arbeitsgruppe der IETF hat sich bereits mehrfach mit diesem Problem beschäftigt, bisher jedoch noch keine allgemeingültige Lösung als Standard erarbeiten können.

In dem aktuellen Entwurf heißt es zu dem vermutlich größten Problem mit den bisherigen Bemühungen um einen SNI-Schutz: "Wenn nur private Dienste eine SNI-Verschlüsselung verwenden, dann ist die SNI-Verschlüsselung ein Zeichen dafür, dass sich ein Client mit eben einem solchen Dienst verbindet. Aus diesem Grund konzentrieren sich viele neuere Arbeiten darauf, die Tatsache zu verbergen, dass SNI geschützt wird. Leider hat das oft unerwünschte Leistungseinbußen, eine unvollständige Abdeckung oder beides zum Ergebnis."

Das nun vorgestellte Design verfolge jedoch einen anderen Ansatz. Es wird davon ausgegangen, dass sich private Dienste hinter einem Anbieter wie einem CDN oder App-Server befinden oder diese Dienste vom Anbieter verborgen werden. Die Anbieter können so die SNI-Verschlüsselung (ESNI) für alle Domains aktivieren.

SNI-Verschlüsselung dank DNS

Der Entwurf sieht vor, dass die Dienste- und Server-Anbieter die öffentlichen Schlüssel für ESNI für sämtliche eigene Domains selbst per DNS veröffentlichen. Andere Wege der Veröffentlichung seien aber ebenfalls möglich. Falls Clients der privaten Server spezialisierte Anwendungen seien - statt Browser -, könnten die öffentlichen Schlüssel etwa von solch einer Anwendung vorkonfiguriert ausgeliefert werden.

Zur Veröffentlichung der Schlüssel per DNS sieht der Entwurf einen neuen TXT-Record vor, in dem die Schlüssel gesammelt bereitgestellt werden. TLS-Clients erhalten die Schlüssel dann also direkt über eine DNS-Abfrage. Zum Absichern der DNS-Abfrage selbst verweist der Entwurf auf Techniken wie etwa DNS über HTTPS (DoH). ESNI wäre ohne derartige Techniken auch nur wenig hilfreich, heißt es in dem Entwurf.

Die Beteiligten wollen den Vorschlag auf dem IETF Meeting 102 diskutieren, das zurzeit in Montreal stattfindet. Nick Sullivan, Head of Cryptography bei Cloudflare, schreibt darüber hinaus auf Twitter, dass es bereits Implementierungen des Entwurfs für BoringSSL, NSS und Picotls gebe sowie dazugehörigen Testserver.



Anzeige
Top-Angebote
  1. (-73%) 7,99€
  2. 29,99€
  3. (bei PCs, Monitoren, Equipment & Co. sparen)

My1 17. Jul 2018 / Themenstart

DNSSec sollte man sowieso haben um sich als Domaininhaber vor Bösen DNS Servern...

ikhaya 16. Jul 2018 / Themenstart

Man fragt ja nicht jeden Record jedes mal an.

RipClaw 16. Jul 2018 / Themenstart

Und wie generierst du die Konfiguration vom Reverse Proxy ? Oder verkaufst du den Kram...

My1 16. Jul 2018 / Themenstart

dazu kann man sich auch n IP cert holen. (dann spart man sich hostnamen im gamen für DNS.

Kommentieren


Folgen Sie uns
       


Energiespeicher in der Cruijff Arena - Bericht

Die Ajax-Arena in Amsterdam wird komplett aus eigenen Akkureserven betrieben. Die USVen im Keller des Gebäudes werden von Solarzellen auf dem Dach und parkenden Elektroautos aufgeladen. Golem.de konnte sich das Konzept genauer anschauen.

Energiespeicher in der Cruijff Arena - Bericht Video aufrufen
IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität iEV X ist ein Ausziehelektroauto
  2. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam
  3. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York

Matebook X Pro im Test: Huaweis zweites Notebook ist klasse
Matebook X Pro im Test
Huaweis zweites Notebook ist klasse

Mit dem Matebook X Pro veröffentlicht Huawei sein zweites Ultrabook. Das schlanke Gerät überzeugt durch ein gutes Display, flotte Hardware samt dedizierter Grafikeinheit, clevere Kühlung und sinnvolle Anschlüsse. Nur die eigenwillig positionierte Webcam halten wir für fragwürdig.
Ein Test von Marc Sauter

  1. Android Huawei stellt zwei neue Tablets mit 10-Zoll-Displays vor
  2. Smartphones Huawei will Ende 2019 Nummer 1 werden
  3. Handelskrieg Huawei-Chef kritisiert Rückständigkeit in den USA

    •  /