Scheinbar ist es eine unendliche Geschichte: Die Verwendung der neuen TLS-Version 1.3 wird von fehlerhaft implementierten Geräten im Internet blockiert. Und nun gibt es einem Bericht von Chrome-Entwickler David Benjamin zufolge weitere Probleme. Mit der kommenden Version 70 will Chrome TLS 1.3 aktivieren.

OpenSSL bietet fehlerhafterweise in einigen Testversionen eine Entwurfsversion von TLS 1.3 an. Außerdem sorgen Bugs in Geräten von Cisco und Palo Alto Networks dafür, dass vorläufig ein Schutzmechanismus vor Downgradeangriffen nicht genutzt werden kann.

Vorgesehen war eigentlich, dass alle Implementierungen, die testweise die unfertigen Versionen von TLS 1.3 anbieten, eigene speziell reservierte Versionsnummern verwenden, da TLS 1.3 über mehrere Jahre entwickelt und dabei immer wieder stark verändert worden ist. In aller Regel scheitert ein Versuch, mit unterschiedlichen Entwurfsversionen oder zwischen der finalen Version und Vorabversionen eine Verbindung aufzubauen daher.

Allerdings gab es in Testversionen von OpenSSL 1.1.1-pre6 und früher einen Bug: OpenSSL akzeptiert ebenfalls die finale Versionsnummer von TLS 1.3 und versucht dann mit der damaligen Vorabversion eine Verbindung aufzubauen. Einige haben diese OpenSSL-Testversion offenbar auf ihren Servern installiert und diese seitdem nicht mehr aktualisiert.

Administratoren, die auf ihren Servern eine Testversion von OpenSSL 1.1.1 betreiben, sollten daher unbedingt umgehend auf die finale Version, die im September veröffentlicht wurde, umstellen. Laut Benjamin kann alternativ auch die Unterstützung von TLS-1.3-Drafts deaktiviert und nur Verbindungen mit dem älteren TLS 1.2 zulassen werden. Andernfalls muss bald mit Verbindungsfehlern gerechnet werden: Das Chrome-Team plant, aufgrund dieses Problems, nicht die Aktivierung von TLS 1.3 zu verzögern.

(mt, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE