An sich sind alle Security-Experten sind sich einig, der neue Standard TLS 1.3 wäre ein deutlicher Schritt zur mehr Sicherheit im Internet. Doch ausgerechnet Security-Devices welche die Verschlüsselung aufbrechen, verhindern die Einführung auf nicht absehbare Zeit.
Lesezeit: 1 min, 7 s
Der neue Standard TLS 1.3 hätte im Sommer 2017 Verabschieden sollen. Wegen hohen Fehlerquote in Feldtests wurde dies Mal verschoben, zugunsten weiteren Tests. Es hat sich gezeigt, dass die vielen Verbindungsfehler nicht akzeptable waren - verursacht durch Middleboxes, die Ende-zu-Ende-Verschlüsselung aufbrechen, um den übertragenen Inhalt zu inspizieren. Also all jene Boxen die den HTTPS Verbindung aufbrechen und untersuchen.
Solche Middelboxes sind in der Regel Security-Devices wie Viren-Scanner, Intrusion-Detection-Systeme oder Data-Leakage-Prevention-Systeme. Sie verhindern offenbar den Aufbau von TLS-1.3-Verbindungen. Das kann entweder ein Fehler sein, den die bislang nicht vorkommenden Optionen auslösen, oder übertriebene Vorsicht, die dahinter einen Angriff vermutet.
Fakt ist jedenfalls, dass die Feldtests von Mozilla bei Firefox rund 1,5 Prozent Fehler ergaben; bei Googles Tests mit Chrome sind es sogar über 3 Prozent.
Da muss noch einiges gehen. Eine erhöhte Sicherheit wäre dringen nötig. Hersteller der Middleboxes sind in der Pflicht eine Lösung zu suchen.
SSL wurde im Jahr 2000 mit TLS ersetzt. Die Begriff SSL für sicher HTTPS / Übertragung wird aber weiterhin verwendet, obwohl dieser veraltet ist.
Weiter Infos dazu: