TLS 1.3 – doch noch nicht jetzt

Die TLS-Arbeitsgruppe hat die Arbeit an TLS 1.3 zwar abgeschlossen. Aber bevor sie das Protokoll ins abschließende Standardisierungsverfahren gibt, will sie noch einer auffällig hohen Fehlerrate in Tests nachgehen.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Server

(Bild: dpa, Sven Hoppe/Archiv)

Lesezeit: 2 Min.
Von

Die Tests der Performanz von Verbindungen mit dem künftigen Transport Layer Security Standard, TLS 1.3, ergaben Probleme mit den Mittelboxen zweier größerer Hersteller. Das ist der Grund, warum jetzt über kleine Änderungen beim Verbindungsaufbau nachgedacht wird.

Mit einem zweiten Working Group Last Call hat die TLS-Arbeitsgruppe der IETF die Arbeit am neuen TLS-Nachfolgestandard an sich abgeschlossen. Aber, Messungen bei Mozilla, Google – und offenbar auch bei Facebook – haben in den vergangenen Monaten eine aus Sicht der Entwickler "nicht vernachlässigbare Fehlerrate" ergeben. Zwischen 1 und 10 Prozent der Verbindungen kamen dabei nicht zustande, weil der Handshake zwischen Client und Server nicht funktionierte. Das Problem seien vermutlich Mittelboxen, die Internet-Verkehr weiterleiten und dabei verändern. Es geht laut Aussagen aus der Arbeitsgruppe um zwei größere Hersteller solcher Boxen, deren Namen man zwar nicht verraten wollte, die man aber auf das Problem hingewiesen habe.

Die Arbeitsgruppe will deshalb auch noch weiter testen. Ergebnisse verspricht TLS-Autor Eric Rescorla von Mozilla für die "kommenden Monate". Je nach Ergebnis kann es dann auch sein, dass man an der eigentlich abgeschlossenen Spezifikation doch noch eine Änderung vornimmt. Konkret denken die Entwickler über eine Änderung des Content Type des "Server Hello" nach.

Mit dem Streit um einen möglichen "Nachschlüssel" für TLS-verschlüsselte Verbindungen in Rechenzentren hat die Verzögerung aber nichts zu tun, versichert einer der Leiter der Arbeitsgruppe, Sean Turner. Auch über andere Aspekte, etwa die Zulassung von Sub-Zertifikaten für das Schlüsselmanagement wird weiterhin diskutiert. Der aktuelle Draft 21 läuft am 4. Januar 2018 aus; mit einer Verabschiedung von TLS 1.3 ist jetzt wohl frühestens gegen Ende des Jahres zu rechnen. (ju)