TLS 1.3: Security-Devices verhindern die Einführung
Alle Security-Experten sind sich einig, dass der Standard TLS 1.3 ein deutlicher Schritt zu mehr Sicherheit im Internet wäre. Doch ausgerechnet Security-Devices, die Verschlüsselung aufbrechen, verhindern die Einführung auf nicht absehbare Zeit.
(Bild: dpa, Oliver Berg/Illustration)
Die Zukunft des neuen Standards für Verschlüsselung im Web ist wieder völlig offen. Eigentlich stand die kommende Version TLS 1.3 bereits im Sommer zur Verabschiedung an. Doch wegen einer recht hohen Fehlerquote in Feldtests wurde sie damals zugunsten weiterer Tests nochmals verschoben. Diese Tests zeigen nun eine definitiv nicht akzeptable Anzahl von Verbindungsfehlern – verursacht durch "Middleboxes", die Ende-zu-Ende-Verschlüsselung aufbrechen, um den übertragenen Inhalt zu inspizieren.
Solche Middelboxes sind in der Regel Security-Devices wie Viren-Scanner, Intrusion-Detection-Systeme oder Data-Leakage-Prevention-Systeme. Sie verhindern offenbar den Aufbau von TLS-1.3-Verbindungen. Das kann entweder ein Fehler sein, den die bislang nicht vorkommenden Optionen auslösen, oder übertriebene Vorsicht, die dahinter einen Angriff vermutet. Fakt ist jedenfalls, dass die Feldtests von Mozilla bei Firefox rund 1,5 Prozent Fehler ergaben; bei Googles Tests mit Chrome sind es sogar über 3 Prozent.
Weiteres Vorgehen
Beides sind Werte, die nicht akzeptabel sind. Somit gibt es derzeit zwei Optionen für das weitere Vorgehen:
- ein Fallback auf TLS 1.2
- kleine Änderungen am Protokoll, die die Fehlerquote deutlich reduzieren
Alle Beteiligten sind sich einig, dass erste Version unbedingt vermieden werden sollte. Denn TLS 1.3 bringt signifikante Sicherheitsverbessungen für die Verschlüsselung im Internet (siehe c't-Artikel: Was die anstehende Version TLS 1.3 bringt). Wenn aber ein Man in the Middle einen Downgrade auf die ältere TLS-Version erzwingen kann, obwohl die beiden Verbindungspartner eigentlich schon TLS 1.3 beherrschen, sind die komplett für die Katz. Ob kleinere Änderungen an der Mechanik des Verbindungsaufbaus genügen, die Fehlerquote auf ein akzeptables Maß zu drücken, müssen erst noch weitere Tests zeigen.
"Name and Shame"?
Klar ist jedenfalls, dass auf den nächsten Treffen der TLS-1.3-Arbeitsgruppe zunächst das weitere Vorgehen diskutiert werden muss; eine Verabschiedung des Standards ist auf nicht absehbare Zeit verschoben. Das ruft bei den engagierten Sicherheitsexperten nicht nur bei der IETF einiges an Ärger und Frustration hervor. Einige haben deshalb auch eine dritte Option in die Diskussion gebracht: Sie schlagen vor, man solle die verantwortlichen Hersteller der Middleboxes in die Pflicht nehmen und im Zweifelsfall sogar für das Verhindern eines sichereren Standards an den Pranger stellen. (ju)
