Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

Artikel veröffentlicht am , Hanno Böck
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei.
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons/CC-BY-SA 3.0)

Es ist eine scheinbar unendliche Geschichte: Fehlerhaft implementierte Geräte im Internet sorgen dafür, dass die Verwendung der neuen TLS-Version 1.3 blockiert wird. Einem Bericht von Chrome-Entwickler David Benjamin zufolge gibt es jetzt weitere Probleme. Chrome will mit der kommenden Version 70 TLS 1.3 aktivieren.

Inhalt:
  1. Verschlüsselung: TLS 1.3 mit Startschwierigkeiten
  2. Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten

Einige Testversionen von OpenSSL bieten fehlerhafterweise eine Entwurfsversion von TLS 1.3 an. Bugs in Geräten von Cisco und Palo Alto Networks sorgen außerdem dafür, dass ein Schutzmechanismus vor Downgradeangriffen vorläufig nicht genutzt werden kann.

Testversionen von OpenSSL 1.1.1 sollten dringend aktualisiert werden

Eigentlich war vorgesehen, dass alle Implementierungen, die testweise die unfertigen Versionen von TLS 1.3 anbieten, speziell reservierte eigene Versionsnummern verwenden. Denn TLS 1.3 ist über mehrere Jahre entwickelt und dabei immer wieder stark verändert worden, insgesamt gab es 28 Entwurfsversionen. Ein Versuch, mit unterschiedlichen Entwurfsversionen oder zwischen der finalen Version und Vorabversionen eine Verbindung aufzubauen, scheitert daher in aller Regel.

In Testversionen von OpenSSL 1.1.1-pre6 und früher gab es allerdings einen Bug: OpenSSL akzeptiert auch die finale Versionsnummer von TLS 1.3 und versucht, damit eine Verbindung mit der damaligen Vorabversion aufzubauen. Das Problem: Offenbar haben einige diese OpenSSL-Testversion auf ihren Servern installiert und seitdem nicht mehr aktualisiert.

Stellenmarkt
  1. BI Dashboard Designer (m/w/d)
    AOK NordWest, Dortmund
  2. Referent (m/w/d) Akademische Weiterbildung Schwerpunkt Studiengang-Management
    Technische Hochschule Ingolstadt, Ingolstadt
Detailsuche

Wer seinen Server mit einer Testversion von OpenSSL 1.1.1 betreibt, sollte daher unbedingt umgehend auf die finale Version umstellen, die im September veröffentlicht wurde. Alternativ kann man laut Benjamin auch die Unterstützung von TLS-1.3-Drafts deaktivieren und nur Verbindungen mit dem älteren TLS 1.2 zulassen. Andernfalls muss man bald mit Verbindungsfehlern rechnen: Das Chrome-Team plant nicht, aufgrund dieses Problems die Aktivierung von TLS 1.3 zu verzögern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten 
  1. 1
  2. 2
  3.  


Anonymer Nutzer 15. Okt 2018

Das lässt sich dem Bewertungsskript grade.py entnehmen, welches auf der Seite verlinkt...

torrbox 14. Okt 2018

Kaum eine Software hat immer die neusten Ciphers und Features. Ok bald können es nginx...

tschaefer 13. Okt 2018

und ich wundere mich seit Monaten, dass das Internet stottert und der Browser hier da mal...

Sharra 13. Okt 2018

Da diese Middleware sowieso entgegen jeglicher Vernunft die Verschlüsselung einfach...



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /