- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

SNI-Sicherheitslücke: Abhilfe naht


Security-Problem der weit verbreiteten SNI (Server Name Indication)-Technologie
Die Korrektur von SNI ist deshalb so schwierig, weil die gesendeten SNI-Daten vom Server entschlüsselt werden müssen, bevor er den Handshake durchführen kann


- Anzeigen -





Eine nicht unerhebliche Sicherheitslücke bei der Web-Verschlüsselung könnte bald Historie sein. Cloudflare, Spezialistin für Web-Performance und -Sicherheit, arbeitet an einem Projekt, ein Security-Problem der weit verbreiteten SNI (Server Name Indication)-Technologie zu lösen.

Das Problem
SNI ist eine unverschlüsselte Datei, die den Namen der ausgewählten Website enthält. Sie wird vom Browser gesendet, wenn man Web-Seiten sicher besucht. Doch SNI ist ein Kompromiss: Es öffnet ein kleines Datenschutzloch auf Kosten der Schließung einer viel größeren Lücke. Noch vor wenigen Jahren war das Web weitgehend unverschlüsselt und der gesamte Inhalt der HTTP-Nachrichten konnte durch Interloper überlagert und modifiziert werden. In diesem Zusammenhang war das SNI-Leck ein kleiner Preis für die enorme Steigerung der Privatsphäre und Sicherheit, indem es HTTPS auf Shared Hosts einfacher macht.

Man wusste zwar, dass diese Lücke früher oder später geschlossen werden muss, doch bisher wusste niemand wie das Problem gelöst werden kann. Die Lösung von Cloudflare heißt Encrypted SNI und soll schon bald getestet werden.

Die SNI-Sicherheitslücke
Wenn man eine Website über eine verschlüsselte HTTPS-Verbindung besucht, fragt der Computer den Hosting-Server, nach seinem digitalen Zertifikat. Er vergleicht den Namen im Zertifikat mit dem Namen der Website. Stimmen die Namen überein, wird ein verschlüsselter Tunnel zwischen den beiden Computern errichtet und es können HTTP-Nachrichten gesendet und empfangen werden.

Es gibt jedoch einen Haken. Häufig besucht man eine Website auf einem Server, der viele verschiedene Websites mit unterschiedlichen Zertifikaten hostet. Dann muss der Computer dem Server mitteilen, für welche Website er ein Zertifikat möchte, um einen verschlüsselten Tunnel zu erstellen. Das Problem: Der Computer sagt dem Server, welche Website er über HTTP verwenden möchte, kann jedoch keine HTTP-Nachrichten senden, bis er einen verschlüsselten Tunnel erstellt hat – eine Endlosschleife, die ins Nichts führen würde.

SNI hilft diese Blockade zu überwinden. SNI ermöglicht es einem Webbrowser, den Namen der gewünschten Website im Voraus zu senden und zwar bevor der verschlüsselte Tunnel gebildet wird. Damit weiß der Server, welches Zertifikat er senden soll. Die SNI-Daten werden jedoch in Klartext gesendet und können somit von jedem gelesen werden, der Browserverkehr abfangen kann, etwa ein ISP oder ein betrügerischer Wi-Fi-Zugangspunkt.

Die Lösung
Der Prozess der Aushandlung eines verschlüsselten Tunnels zwischen dem Browser und einem Webserver wird als "Handshake" bezeichnet. Dabei werden Klartext-SNI-Daten gesendet, um dem Server mitzuteilen, welches Zertifikat man wünscht. Es wird überprüft, ob man mit diesem Server spricht und es wird vereinbart, welche Verschlüsselungen verwendet werden sollen. Auch die Verschlüsselungscodes werden ausgetauscht.

Die Korrektur von SNI ist deshalb so schwierig, weil die gesendeten SNI-Daten vom Server entschlüsselt werden müssen, bevor er den Handshake durchführen kann. Die Lösung besteht darin, die nötigen Informationen in das lesbare globale Internet-Adressbuch DNS (Domain Name System) zu packen. Der Ansatz von Cloudflare ist, dass Website-Besitzer neben ihrer IP-Adresse ein Paar kryptographischer Schlüssel erstellen – einen öffentlichen und einen privaten, wobei der öffentliche Schlüssel im DNS-Eintrag veröffentlicht ist.

Der öffentliche Schlüssel kann von jedermann verwendet werden, um einen symmetrischen Verschlüsselungscode abzuleiten, den nur der Eigentümer des geheimen, privaten Schlüssels (der Eigentümer der Website) freischalten kann. Der Server nutzt seinen privaten Schlüssel und den öffentlichen Schlüssel des Browsers, um den Schlüssel abzuleiten, der die SNA-Daten entschlüsseln kann. Danach erfolgt der Handshake für die verschlüsselte HTTP-Sitzung.

Cloudflare versucht diese ESNI über die IETF (Internet Engineering Task Force) zu einem offenen Standard zu machen. Die Funktion ist bereits für jeden verfügbar, der Cloudflare-Nameserver verwendet. Bisher wird diese Technologie noch von keinem Browser unterstützt. Doch es ist zu erwarten, dass dieses Feature in einem der nächsten Builds von Firefox integriert ist.
(Sophos: ra)

eingetragen: 07.10.18
Newsletterlauf: 05.11.18

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Damit Unternehmensdaten online sicher sind

    Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: "Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an Dritte. Fast jeder Vierte (23 Prozent) war davon betroffen."

  • Teil der CISO-View-Industrieinitiative

    CyberArk präsentiert den neuen Forschungsbericht "The CISO View: Protecting Privileged Access in DevOps and Cloud Environments". Er basiert auf den Erfahrungswerten eines CISO-Panels aus Global-1000-Unternehmen und liefert fünf Empfehlungen für die Sicherung von DevOps-Prozessen. Sicherheitsstrategien müssen unternehmensweite Maßnahmen zum Schutz privilegierter Zugriffe und Zugangsdaten umfassen - gerade auch im DevOps-Umfeld, in dem etliche Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code oft ungesichert sind. So hat auch der "Global Advanced Threat Landscape Report 2018" von CyberArk ergeben, dass mehr als 70 Prozent der befragten Unternehmen noch keine "Privileged Access Security"-Strategie für DevOps-Umgebungen haben.

  • "DNS Flag Day": Das müssen Sie wissen

    Infoblox klärt auf: Der "DNS Flag Day" am ersten Februar ist eine Chance für das in die Jahre gekommene DNS-Protokoll. Dieses existiert bereits seit über dreißig Jahren in zahlreichen Variationen und Modellen. Die gängige EDNS-Erweiterung wird allerdings von einigen DNS Servern nicht unterstützt und daher oft mit diversen Workarounds kompliziert umgangen. Doch das führte zu Problemen: Es entstehen Schwachstellen, die Komplexität steigt, Upgrades werden immer umständlicher und die DNS-Sicherheit leidet. Bestimmte Workarounds werden nun zum DNS Flag Day entfernt. "Der DNS Flag Day wird sich langfristig bei allen Internetnutzern bemerkbar machen. Denn durch eine Vereinfachung der DNS-Quellcodes wird sich die Internetgeschwindigkeit in Zukunft steigern. Gleichzeitig ist dieser Tag eine gute Gelegenheit für alle DNS Administratoren ihr DNS zu testen und gegebenenfalls eine Aktualisierung vorzunehmen", erklärt Frank Ruge, Director Sales Central Europe bei Infoblox die Bedeutung des ersten Februars.

  • Betrügereien im Social Web

    Fast täglich gelangen neue Datenschutzverletzungen in die Schlagzeilen. Verbraucher stellen sich die Frage, wie sie sich vor Cyber-Bedrohungen schützen können. Anlässlich des Europäischen Datenschutztages, gibt der Internet-Security-Experte BullGuard acht Tipps, mit denen Verbraucher sicherer im Internet surfen können und geschützt bleiben.

  • Fünf Schritte für Datensicherheit in der Cloud

    Die Verlagerung von Geschäftsprozessen und Applikationen in die Cloud erfordert eine genaue Planung, damit die Datensicherheit zu jeder Zeit und in jedem Detail gewährleistet ist. NTT Security (Germany), das auf Sicherheit spezialisierte "Security Center of Excellence" der NTT Group, hat die wichtigsten Aktivitäten dabei in fünf Schritten festgehalten. Wenn Unternehmen komplette Geschäftsprozesse in die Cloud verlagern, lassen sich die erwarteten betriebswirtschaftlichen Ziele nur dann erreichen, wenn die Migration von Anfang an durch eine umfassende IT-Security-Strategie abgesichert ist - bei der die Sicherheit der Daten eine entscheidende Rolle spielt. NTT Security konkretisiert die wichtigsten Aktivitäten in fünf Schritten.