Abo
  • IT-Karriere:

Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

Artikel veröffentlicht am , Hanno Böck
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei.
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons/CC-BY-SA 3.0)

Es ist eine scheinbar unendliche Geschichte: Fehlerhaft implementierte Geräte im Internet sorgen dafür, dass die Verwendung der neuen TLS-Version 1.3 blockiert wird. Einem Bericht von Chrome-Entwickler David Benjamin zufolge gibt es jetzt weitere Probleme. Chrome will mit der kommenden Version 70 TLS 1.3 aktivieren.

Inhalt:
  1. Verschlüsselung: TLS 1.3 mit Startschwierigkeiten
  2. Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten

Einige Testversionen von OpenSSL bieten fehlerhafterweise eine Entwurfsversion von TLS 1.3 an. Bugs in Geräten von Cisco und Palo Alto Networks sorgen außerdem dafür, dass ein Schutzmechanismus vor Downgradeangriffen vorläufig nicht genutzt werden kann.

Testversionen von OpenSSL 1.1.1 sollten dringend aktualisiert werden

Eigentlich war vorgesehen, dass alle Implementierungen, die testweise die unfertigen Versionen von TLS 1.3 anbieten, speziell reservierte eigene Versionsnummern verwenden. Denn TLS 1.3 ist über mehrere Jahre entwickelt und dabei immer wieder stark verändert worden, insgesamt gab es 28 Entwurfsversionen. Ein Versuch, mit unterschiedlichen Entwurfsversionen oder zwischen der finalen Version und Vorabversionen eine Verbindung aufzubauen, scheitert daher in aller Regel.

In Testversionen von OpenSSL 1.1.1-pre6 und früher gab es allerdings einen Bug: OpenSSL akzeptiert auch die finale Versionsnummer von TLS 1.3 und versucht, damit eine Verbindung mit der damaligen Vorabversion aufzubauen. Das Problem: Offenbar haben einige diese OpenSSL-Testversion auf ihren Servern installiert und seitdem nicht mehr aktualisiert.

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. über Kienbaum Consultants International GmbH, Stuttgart

Wer seinen Server mit einer Testversion von OpenSSL 1.1.1 betreibt, sollte daher unbedingt umgehend auf die finale Version umstellen, die im September veröffentlicht wurde. Alternativ kann man laut Benjamin auch die Unterstützung von TLS-1.3-Drafts deaktivieren und nur Verbindungen mit dem älteren TLS 1.2 zulassen. Andernfalls muss man bald mit Verbindungsfehlern rechnen: Das Chrome-Team plant nicht, aufgrund dieses Problems die Aktivierung von TLS 1.3 zu verzögern.

Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  3. 279,90€
  4. (reduzierte Überstände, Restposten & Co.)

DebianFan 15. Okt 2018

Das lässt sich dem Bewertungsskript grade.py entnehmen, welches auf der Seite verlinkt...

torrbox 14. Okt 2018

Kaum eine Software hat immer die neusten Ciphers und Features. Ok bald können es nginx...

tschaefer 13. Okt 2018

und ich wundere mich seit Monaten, dass das Internet stottert und der Browser hier da mal...

Sharra 13. Okt 2018

Da diese Middleware sowieso entgegen jeglicher Vernunft die Verschlüsselung einfach...

Anonymer Nutzer 13. Okt 2018

Zum Router: Da hast du wohl recht, aber besagte Features brauche/benutze ich nicht. DD...


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

    •  /