Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

Artikel veröffentlicht am , Hanno Böck
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei.
Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons/CC-BY-SA 3.0)

Es ist eine scheinbar unendliche Geschichte: Fehlerhaft implementierte Geräte im Internet sorgen dafür, dass die Verwendung der neuen TLS-Version 1.3 blockiert wird. Einem Bericht von Chrome-Entwickler David Benjamin zufolge gibt es jetzt weitere Probleme. Chrome will mit der kommenden Version 70 TLS 1.3 aktivieren.

Inhalt:
  1. Verschlüsselung: TLS 1.3 mit Startschwierigkeiten
  2. Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten

Einige Testversionen von OpenSSL bieten fehlerhafterweise eine Entwurfsversion von TLS 1.3 an. Bugs in Geräten von Cisco und Palo Alto Networks sorgen außerdem dafür, dass ein Schutzmechanismus vor Downgradeangriffen vorläufig nicht genutzt werden kann.

Testversionen von OpenSSL 1.1.1 sollten dringend aktualisiert werden

Eigentlich war vorgesehen, dass alle Implementierungen, die testweise die unfertigen Versionen von TLS 1.3 anbieten, speziell reservierte eigene Versionsnummern verwenden. Denn TLS 1.3 ist über mehrere Jahre entwickelt und dabei immer wieder stark verändert worden, insgesamt gab es 28 Entwurfsversionen. Ein Versuch, mit unterschiedlichen Entwurfsversionen oder zwischen der finalen Version und Vorabversionen eine Verbindung aufzubauen, scheitert daher in aller Regel.

In Testversionen von OpenSSL 1.1.1-pre6 und früher gab es allerdings einen Bug: OpenSSL akzeptiert auch die finale Versionsnummer von TLS 1.3 und versucht, damit eine Verbindung mit der damaligen Vorabversion aufzubauen. Das Problem: Offenbar haben einige diese OpenSSL-Testversion auf ihren Servern installiert und seitdem nicht mehr aktualisiert.

Stellenmarkt
  1. Kubernetes Engineer (m/w/d)
    LexCom Informationssysteme GmbH, München
  2. Administrator Security-Operations (m/w/d)
    Universitätsklinikum Regensburg, Regensburg
Detailsuche

Wer seinen Server mit einer Testversion von OpenSSL 1.1.1 betreibt, sollte daher unbedingt umgehend auf die finale Version umstellen, die im September veröffentlicht wurde. Alternativ kann man laut Benjamin auch die Unterstützung von TLS-1.3-Drafts deaktivieren und nur Verbindungen mit dem älteren TLS 1.2 zulassen. Andernfalls muss man bald mit Verbindungsfehlern rechnen: Das Chrome-Team plant nicht, aufgrund dieses Problems die Aktivierung von TLS 1.3 zu verzögern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Downgrade-Schutz sorgt für Probleme mit Enterprise-Geräten 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Fahrrad-Navigation im Test
Rechenpower für Radfahrer

Schnell, sicher und schön ans Ziel: Das schaffen Bike-Computer besser als jedes Smartphone. Wir haben die Top-Geräte ausprobiert - und günstige Alternativen.
Von Peter Steinlechner

Fahrrad-Navigation im Test: Rechenpower für Radfahrer
Artikel
  1. Kryptowährung: Warschauer Polizei findet illegales Mining im Hauptquartier
    Kryptowährung
    Warschauer Polizei findet illegales Mining im Hauptquartier

    Wo würde die Polizei am wenigsten illegales Krypto-Mining vermuten? In ihrem Hauptquartier, dachte wohl ein polnischer IT-Techniker.

  2. Digitalisierung: Bundesregierung startet ressortübergreifende Suchmaschine
    Digitalisierung
    Bundesregierung startet ressortübergreifende Suchmaschine

    Um Informationen zu übergreifenden Themen wie Digitalisierung besser auffindbar zu machen, setzt die Bundesregierung nun auf eine Suchmaschine.

  3. Mozilla: Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren
    Mozilla
    Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren

    Die offiziellen Nutzer-Statistiken des Firefox-Browsers sehen für Mozilla nicht gut aus. Immerhin wird der Browser intensiver genutzt.

Anonymer Nutzer 15. Okt 2018

Das lässt sich dem Bewertungsskript grade.py entnehmen, welches auf der Seite verlinkt...

torrbox 14. Okt 2018

Kaum eine Software hat immer die neusten Ciphers und Features. Ok bald können es nginx...

tschaefer 13. Okt 2018

und ich wundere mich seit Monaten, dass das Internet stottert und der Browser hier da mal...

Sharra 13. Okt 2018

Da diese Middleware sowieso entgegen jeglicher Vernunft die Verschlüsselung einfach...

Anonymer Nutzer 13. Okt 2018

Zum Router: Da hast du wohl recht, aber besagte Features brauche/benutze ich nicht. DD...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • Samsung Odyssey G5 (34 Zoll, 165 Hz) 399€ • 15% auf Xiaomi-Technik • McAfee Total Protection ab 15,99€ • Saturn: 1 Produkt zahlen, 2 erhalten • Final Fantasy VII HD Remake PS4 25,64€ [Werbung]
    •  /