IETF - Internet Engineering Task Force

Ein Sicherheitsforscher zeigt, dass sich DNS-über-HTTPS-Anfragen trotz Verschlüsselung an ihrer Größe erkennen lassen können. Damit könnte diese blockiert werden, was die Technik eigentlich verhindern soll.

Die aktuelle Nightly-Version des Firefox-Browsers von Mozilla bietet erstmals experimentelle Unterstützung von HTTP/3 und Quic. Noch reicht das aber nur für ein paar wenige Tests.

Anfragen von Golem.de an deutsche Provider zeigen, dass diese die Einführung von DNS-over-HTTPS (DoH) durch Google und Mozilla zwar ähnlich kritisieren wie internationale Provider, sich aber noch eher in der Beobachterrolle sehen. Und die Deutsche Telekom sieht das Geschäft mit Daten in Gefahr.
Von Sebastian Grüner

Netzwerkbetreiber haben einige Probleme beim Einsatz von verschlüsselten DNS wie DNS-over-HTTPS. Die IETF will diese lösen und damit den Einsatz der Technik erleichtern.

Der Netzwerkdienstleister Cloudflare stellt allen seinen Kunden die Nutzung von HTTP/3 über Quic zur Verfügung. In der Ankündigung hebt der Anbieter explizit den Support in Chrome und Firefox hervor und die gute Zusammenarbeit in der IETF.

Um das Internet als Einheit zu erhalten und damit Nutzer weiterhin das notwendige Vertrauen in die Technik haben können, formuliert das Internet Architecture Board nun klare Richtlinien, denen Gesetzgeber folgen sollten.

Das extrem weit verbreitete Download- und Transfer-Werkzeug Curl unterstützt erstmals das Protokoll HTTP/3, das über den ebenfalls neuen Standard Quic transportiert wird. Noch ist die Technik aber sehr experimentell.

Die Diskussionen zum Standard DNS over HTTPS (DoH) ähneln mittlerweile einer Propagandaschlacht. Häufig basiert die Kritik jedoch auf Unkenntnis und Falschinformationen. Wir stellen richtig.
Von Sebastian Grüner

Die Nominierung Mozillas als "Internetschurke" hat der Provider-Verband des Vereinigten Königreichs nun offiziell zurückgenommen. Die Umsetzungspläne für DoH will der Verband aber weiter "genau hinterfragen".

Der Provider-Verband des Vereinigten Königreichs bezeichnet Mozilla als "Internetschurken", weil der Browser-Anbieter DNS-over-HTTPS als Standard durchsetzen will. Das unterlaufe die Internetsicherheit.

Mit Hilfe des Robots Exclusion Protocol können Webmaster festlegen, ob und wie Crawler ihre Webseite durchsuchen sollen. Die Technik rund um die Robots.txt soll 25 Jahre nach Entstehen nun zu einem IETF-Standard werden und Google macht seinen Parser dafür Open Source.

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Das TCP überträgt Daten bislang unverschlüsselt. Die IETF hat nun zwei RFCs zur TCP-Verschlüsselung veröffentlicht. Diese sind als experimentell gekennzeichnet und dienen zur Dokumentation der Forschung.

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Der für den Firefox-Browser zuständige Technikchef Eric Rescorla erklärt noch einmal zusammenfassend die Pläne zur Nutzung von DNS über HTTPS (DoH). Demnach soll die Technik definitiv mit einigen Startpartnern ausgerollt werden, wann, ist jedoch noch nicht klar.

Über vier Jahre nach der Einigung auf die gemeinsame Nutzung von VP8 und H.264 in WebRTC wird dies künftig auch beides von Apples Safari-Browser unterstützt. Hinzu kommen außerdem Video Simulcast und die Screen-Capture-API. Alle Neuerungen dienen der Webkompatibilität.

Ein Kryptograph weist darauf hin, dass die sogenannten S-Boxen in russischen Verschlüsselungsstandards eine seltsame Struktur aufweisen und dass nirgendwo erklärt ist, wie es dazu kam. Handelt es sich um eine Hintertür?

Die Übertragung von DNS-Informationen über HTTPS sei nicht nur sicherer als Alternativen, sondern vor allem gut für den Endnutzer, sagt Curl-Entwickler Daniel Stenberg. Noch seien aber nicht alle Probleme mit der Technik gelöst.

Der öffentliche DNS-Dienst von Google unterstützt nun das Protokoll DNS-über-TLS zum Absichern der Abfragen. Genutzt werden kann das standardmäßig unter anderem mit Android 9 alias Pie oder einem eigenen Resolver.

Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.

Die europäische Standardisierungsorganisation ETSI hat eine Variante von TLS spezifiziert, die eine Überwachungsschnittstelle und schwächere Sicherheitseigenschaften hat. Bei der IETF war man zuvor mit ähnlichen Vorstößen erfolglos.

Windows-Hersteller Microsoft hat damit begonnen, einen Software-Decoder für den freien Videocodec AV1 über seinen Store zu verteilen. Der Decoder wird als frühe Beta bezeichnet und ist entsprechend experimentell.

Obwohl sich HTTP/2 noch nicht besonders weit im Internet durchgesetzt hat, arbeitet die IETF bereits an HTTP/3. Dabei handelt es sich um die Verwendung von HTTP über das neu spezifizierte Quic-Transportprotokoll.

Das aktuelle Android 9 alias Pie unterstützt bereits verschlüsselte DNS-Abfragen. Die App Intra bietet nun verschlüsselte DNS-Abfragen per DNS-over-HTTPS für alle Versionen ab Android 4.0, was so gut wie alle Android-Nutzer umfasst.

Ein neuer Standard soll endlich dafür sorgen, dass die Transportverschlüsselung zwischen Mailservern vernünftig abgesichert wird. Dafür wird über HTTPS eine Policy veröffentlicht.

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

Googles Streamingdienst Youtube startet einen ersten Betatest der Wiedergabe von Videos, die den neuen freien Codec AV1 verwenden. Vorerst ist das Angebot aber nur sehr eingeschränkt nutzbar.

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

Das US-Normungsinstitut Nist arbeitet gemeinsam mit Netzwerkausrüstern und -betreibern an einer Richtlinie, die den sicheren Betrieb des Routing-Protokolls BGP gewährleisten soll. Die Beteiligten setzen dabei eine Idee der IETF um.

Mozilla stellt eine vorläufige Auswertung seines Test von DNS über HTTPS in Nightly-Versionen des Firefox-Browsers vor. Die typischen Geschwindigkeitsverluste sind demnach minimal und damit "akzeptabel", besonders langsame DNS-Anfragen werden aber klar beschleunigt.

In einem Kommentar bezeichnet ein Hostinganbieter die DNS-over-HTTPS-Experimente im Firefox als "gefährlich", Sicherheitsexperte Felix von Leitner stimmt dem zu. Die Kritik schießt dabei wohl aber über das Ziel hinaus, denn hinsichtlich der stabilen Umsetzung steht noch gar nichts fest.

In einem offensichtlich nicht ganz ernst gemeinten Vorschlag der IETF entschuldigen sich die "Ältesten des Internets" für die Unannehmlichkeiten heutiger sozialer Netzwerke. Als Hilfe schlagen sie Memes, Blocklisten und Whisky vor.

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

Der Coautor des Entwurfs für DNS über HTTPS und Mozilla-Angestellte Patrick McManus beschreibt die seiner Meinung nach vielfältigen Vorzüge des neuen Protokolls. Zusätzlich zu dem Schutz und der Authentifizierung entscheidend sei demnach vor allem die Zukunftsfähigkeit und die einfache Umsetzung.

Unter bestimmten Umständen lieferten die NPM-Registry ihren Nutzern den HTTP Statuscode 418 "I am a Teapot". Der zugrundeliegende Fehler für diese wenig hilfreiche Nachricht ist schnell behoben worden.

Die Alliance for Open Media hat die erste Version der Spezifikation des neuen freien Videocodecs AV1 veröffentlicht. Hersteller können nun mit der Integration beginnen. Das Konsortium erwartet eine Marktdurchdringung des Codecs in Hardware bis 2020.

Eine Analyse zur Verwendung des Netzwerksprotokolls Quic zeigt, dass je nach Betrachtung bis zu neun Prozent des gesamten Internettraffics auf das neue Protokoll entfallen. Verantwortlich dafür ist vor allem Google. Aber auch Akamai trägt zur Nutzung von Quic bei.

Die Spezifikation für den freien Videocodec AV1 ist offiziell eingefroren. Zugelassen sind nur Fehlerbehebungen und nicht bindende Kompressionsverbesserungen. Die Verbesserungen im Vergleich zu VP9 betragen derzeit etwa 30 Prozent.

Aktuelle Nightly-Versionen des Firefox-Browsers unterstützen DNS über HTTPS. Das soll die Anfragen absichern. Die geplante, großangelegte Studie mit Cloudflare sorgt allerdings für Kritik aus der Community.

Nach der Ankündigung im vergangenen Jahr und einigen Verzögerungen hat die Zertifizierungsstelle Let's Encrypt damit begonnen, Wildcard-Zertifikate zu vergeben. Das geht aber nur mit Version 2 des ACME-Protokolls.

Die TLS-Arbeitsgruppe der IETF hat ihre Arbeit an Version 1.3 des Verschlüsselungsprotokolls abgeschlossen. Jetzt muss noch der Rest des Standard-Gremiums zustimmen, was aber noch dauern könnte.

Bisher wird die Quell-URL einer Webseite, die Googles Accelerated Mobile Pages (AMP) nutzt, unter Umständen nicht richtig angezeigt. Stattdessen gibt es eine Google-URL. Um das zu ändern, soll künftig ein neues Webpaket-Format zur Verteilung der AMP-Seiten genutzt werden.

Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.
Von Hanno Böck

Es dauert doch noch ein Jahr länger als geplant: Der Videocodec-Standard fürs Netz wird erst Mitte bis Ende 2018 verabschiedet. Das Konsortium, das den wahrscheinlichen Codec-Kandidaten AV1 entwickelt, wird nun außerdem auch von Facebook unterstützt.

Nach Jahren gemeinsamer Arbeit der Browserhersteller und anderer Interessierter ist der Standard für Videochat im Web - WebRTC - nun offiziell vollständig und einsatzbereit. Das World Wide Web Consortium (W3C) will sich künftig um eine bessere Interoperabilität kümmern.

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.
Von Sebastian Grüner

Was als Aprilscherz begann, darf nach Meinung vieler Unterstützer nicht aus dem Internet verschwinden: Der HTTP Statuscode 418 "I am a Teapot" bleibt - und könnte sogar zum IETF-Standard werden.

Eigentlich kommt die Standardisierung des Quic-Protokolls gut voran. Doch Netzwerker und um Privatsphäre besorgte Entwickler streiten sich schon jetzt heftig darüber, ob und wie Quic-Pakete verfolgt werden können. Und das hat wohl auch sehr große Auswirkungen auf das gesamte Internet.
Ein Bericht von Sebastian Grüner