Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

Artikel veröffentlicht am , Hanno Böck
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei.
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons/CC-BY-SA 3.0)

Es ist eine scheinbar unendliche Geschichte: Fehlerhaft implementierte Geräte im Internet sorgen dafür, dass die Verwendung der neuen TLS-Version 1.3 blockiert wird. Einem Bericht von Chrome-Entwickler David Benjamin zufolge gibt es jetzt weitere Probleme. Chrome will mit der kommenden Version 70 TLS 1.3 aktivieren.

Inhalt:
  1. Verschlüsselung: TLS 1.3 mit Startschwierigkeiten
  2. Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten

Einige Testversionen von OpenSSL bieten fehlerhafterweise eine Entwurfsversion von TLS 1.3 an. Bugs in Geräten von Cisco und Palo Alto Networks sorgen außerdem dafür, dass ein Schutzmechanismus vor Downgradeangriffen vorläufig nicht genutzt werden kann.

Testversionen von OpenSSL 1.1.1 sollten dringend aktualisiert werden

Eigentlich war vorgesehen, dass alle Implementierungen, die testweise die unfertigen Versionen von TLS 1.3 anbieten, speziell reservierte eigene Versionsnummern verwenden. Denn TLS 1.3 ist über mehrere Jahre entwickelt und dabei immer wieder stark verändert worden, insgesamt gab es 28 Entwurfsversionen. Ein Versuch, mit unterschiedlichen Entwurfsversionen oder zwischen der finalen Version und Vorabversionen eine Verbindung aufzubauen, scheitert daher in aller Regel.

In Testversionen von OpenSSL 1.1.1-pre6 und früher gab es allerdings einen Bug: OpenSSL akzeptiert auch die finale Versionsnummer von TLS 1.3 und versucht, damit eine Verbindung mit der damaligen Vorabversion aufzubauen. Das Problem: Offenbar haben einige diese OpenSSL-Testversion auf ihren Servern installiert und seitdem nicht mehr aktualisiert.

Stellenmarkt
  1. Informatiker / Maschinenbauingenieur (m/w/d) Digital Manufacturing
    SKF GmbH, Schweinfurt
  2. Informatiker*in oder Elektroingenieur*in (m/w/d) mit Spezialisierung im Bereich Data Science und KI-gestützte Softwareanwendungen
    Institut für Arbeitswissenschaft und Technologiemanagement der Universität Stuttgart (IAT), Stuttgart
Detailsuche

Wer seinen Server mit einer Testversion von OpenSSL 1.1.1 betreibt, sollte daher unbedingt umgehend auf die finale Version umstellen, die im September veröffentlicht wurde. Alternativ kann man laut Benjamin auch die Unterstützung von TLS-1.3-Drafts deaktivieren und nur Verbindungen mit dem älteren TLS 1.2 zulassen. Andernfalls muss man bald mit Verbindungsfehlern rechnen: Das Chrome-Team plant nicht, aufgrund dieses Problems die Aktivierung von TLS 1.3 zu verzögern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
PC-Hardware
Grafikkarten werden günstiger und besser verfügbar

Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
Artikel
  1. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

  2. Bundesdruckerei: Pilotbetrieb für digitale Schulzeugnisse gestartet
    Bundesdruckerei
    Pilotbetrieb für digitale Schulzeugnisse gestartet

    Das digitale Schulzeugnis soll vieles einfacher und sicherer machen, zunächst gehen drei Bundesländer mit IT-Experten in die Erprobung.

  3. Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
    Oberleitungs-Lkw
    Herr Gramkow will möglichst weit elektrisch fahren

    Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
    Ein Bericht von Werner Pluta

Anonymer Nutzer 15. Okt 2018

Das lässt sich dem Bewertungsskript grade.py entnehmen, welches auf der Seite verlinkt...

torrbox 14. Okt 2018

Kaum eine Software hat immer die neusten Ciphers und Features. Ok bald können es nginx...

tschaefer 13. Okt 2018

und ich wundere mich seit Monaten, dass das Internet stottert und der Browser hier da mal...

Sharra 13. Okt 2018

Da diese Middleware sowieso entgegen jeglicher Vernunft die Verschlüsselung einfach...

Anonymer Nutzer 13. Okt 2018

Zum Router: Da hast du wohl recht, aber besagte Features brauche/benutze ich nicht. DD...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /