Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

Artikel veröffentlicht am , Hanno Böck
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei.
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons/CC-BY-SA 3.0)

Es ist eine scheinbar unendliche Geschichte: Fehlerhaft implementierte Geräte im Internet sorgen dafür, dass die Verwendung der neuen TLS-Version 1.3 blockiert wird. Einem Bericht von Chrome-Entwickler David Benjamin zufolge gibt es jetzt weitere Probleme. Chrome will mit der kommenden Version 70 TLS 1.3 aktivieren.

Inhalt:
  1. Verschlüsselung: TLS 1.3 mit Startschwierigkeiten
  2. Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten

Einige Testversionen von OpenSSL bieten fehlerhafterweise eine Entwurfsversion von TLS 1.3 an. Bugs in Geräten von Cisco und Palo Alto Networks sorgen außerdem dafür, dass ein Schutzmechanismus vor Downgradeangriffen vorläufig nicht genutzt werden kann.

Testversionen von OpenSSL 1.1.1 sollten dringend aktualisiert werden

Eigentlich war vorgesehen, dass alle Implementierungen, die testweise die unfertigen Versionen von TLS 1.3 anbieten, speziell reservierte eigene Versionsnummern verwenden. Denn TLS 1.3 ist über mehrere Jahre entwickelt und dabei immer wieder stark verändert worden, insgesamt gab es 28 Entwurfsversionen. Ein Versuch, mit unterschiedlichen Entwurfsversionen oder zwischen der finalen Version und Vorabversionen eine Verbindung aufzubauen, scheitert daher in aller Regel.

In Testversionen von OpenSSL 1.1.1-pre6 und früher gab es allerdings einen Bug: OpenSSL akzeptiert auch die finale Versionsnummer von TLS 1.3 und versucht, damit eine Verbindung mit der damaligen Vorabversion aufzubauen. Das Problem: Offenbar haben einige diese OpenSSL-Testversion auf ihren Servern installiert und seitdem nicht mehr aktualisiert.

Wer seinen Server mit einer Testversion von OpenSSL 1.1.1 betreibt, sollte daher unbedingt umgehend auf die finale Version umstellen, die im September veröffentlicht wurde. Alternativ kann man laut Benjamin auch die Unterstützung von TLS-1.3-Drafts deaktivieren und nur Verbindungen mit dem älteren TLS 1.2 zulassen. Andernfalls muss man bald mit Verbindungsfehlern rechnen: Das Chrome-Team plant nicht, aufgrund dieses Problems die Aktivierung von TLS 1.3 zu verzögern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten 
  1. 1
  2. 2
  3.  
Verwandte Artikel
artikel-bild
Dual EC
Wie Cisco, Avast und die NSA TLS 1.3 behindern
artikel-bild
HTTPS
Noch immer viele Symantec-Zertifikate aktiv
artikel-bild
MTA-STS
Neuer Standard sichert Verschlüsselung zwischen Mailservern
Meistgelesen
artikel-bild
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt
artikel-bild
Parkvision
Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer
artikel-bild
LTT
Linus Tech Tips von Krypto-Scammern gehackt
Kommentarübersicht
Re: Ich warte mit der Einführung von TLS1.3 auf...
Anonymer Nutzer 15. Okt 2018

Das lässt sich dem Bewertungsskript grade.py entnehmen, welches auf der Seite verlinkt...

Es gibt nur eine Handvoll benutzbare Software
torrbox 14. Okt 2018

Kaum eine Software hat immer die neusten Ciphers und Features. Ok bald können es nginx...

na Klasse
tschaefer 13. Okt 2018

und ich wundere mich seit Monaten, dass das Internet stottert und der Browser hier da mal...

Re: Keine Rücksicht
Sharra 13. Okt 2018

Da diese Middleware sowieso entgegen jeglicher Vernunft die Verschlüsselung einfach...

Aktuell auf der Startseite von Golem.de
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt

Die Analyse eines schwerwiegenden Ausfalls bei Reddit zeigt, wie kritisch institutionelles Wissen sein kann.

Reddit: Stundenlanger Ausfall, weil niemand mehr den Code kennt
Artikel
  1. Entlassungen bei Techfirmen: Weniger Manager sind besser
    Entlassungen bei Techfirmen
    Weniger Manager sind besser

    Entlassungen sind schlimm, aber die Begründungen dafür etwa von Meta kann ich zum Teil verstehen. Auch die Forderungen nach Rückkehr ins Büro finde ich richtig.
    Ein IMHO von Brandur Leach

  2. Huawei: Innenministerium wird keine US-Sanktionen überprüfen
    Huawei
    Innenministerium wird keine US-Sanktionen überprüfen

    Das Bundesinnenministerium kann weder US-Sanktionen gegen Huawei in Deutschland einfordern, noch interne Verträge der Telekom einsehen.

  3. Parkvision: Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer
    Parkvision
    Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer

    Wer auf einem kameraüberwachten Parkplatz eines Gelsenkirchener Supermarkts parkt, darf nur dort einkaufen. Wer zusätzlich woanders hingeht, zahlt Strafe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Ryzen 9 7900X3D 619€ • Crucial SSD 2TB (PS5) 158€ • Neu: Amazon Smart TVs ab 189€ • Nur bis 24.03.: 38GB Allnet-Flat 12,99€ • MindStar: Ryzen 9 5900X 319€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Spiel 569€ • LG OLED TV -57% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /