Login
Newsletter
Werbung

Di, 14. August 2018, 10:15

Software::Security

Standardisierung von TLS 1.3 abgeschlossen

Nach vier Jahren Arbeit hat die »Internet Engineering Task Force« (IETF) jetzt das Protokoll »Transport Layer Security« 1.3 (TLS) freigegeben.

Mehr Sicherheit mit TLS 1.3

Mozilla

Mehr Sicherheit mit TLS 1.3

Hinter dem S in HTTPS steht das »Transport Layer Security«-Protokoll, kurz TLS, das in den 90er Jahren als »Secure Sockets Layer« (SSL) entwickelt wurde. Die »Internet Engineering Task Force« (IETF) hat vor wenigen Tagen nach rund vier Jahren Arbeit die Standardisierung der neuen Version 1.3 des Protokolls abgeschlossen, wie im Blog der IETF zu lesen ist. TLS 1.3 wurde im März zur Standardisierung vorgeschlagen.

Während der Standardisierungsphase veröffentlicht die IETF eine Reihe technischer und organisatorischer Dokumente, unter der Bezeichnung RFC, was für Requests for Comments steht und hängt eine Nummer an, die auch nach der Standardisierung Bestand hat. TLS 1.3 wird somit auch künftig als RFC 8446 referenziert.

Wie Mozilla in seinem Security Blog mitteilt, ist TLS 1.3 bereits in Firefox, wie auch in Google Chrome unterstützt und bereit zur Anwendung. Dazu muss der jeweils kontaktierte Server das Protokoll lediglich in der neuen Version unterstützen. Bereits vor der Bekanntgabe der Standardisierung hatte Facebook mit Fizz eine eigene Implementation vorgestellt.

TLS 1.3 löst nach ziemlich genau zehn Jahren den Vorgänger TLS 1.2 ab. Die neue Version des Protokolls bringt unter anderem signifikante Verbesserungen bei der Sicherheit und der Geschwindigkeit. So verbessert es die Privatsphäre der Benutzer. In früheren Versionen von TLS verlief der jetzt verschlüsselte gesamte Handshake offen, was viele Metadaten, einschließlich der Identität des Clients und des Servers, durchsickern ließ.

TLS 1.3 schließt als unsicher geltende Algorithmen von der Verwendung aus. Dazu zählen etwa SHA-1, RC4 und die DHE-Export-Cipher. Die neue Protokollversion enthält nur Unterstützung für Algorithmen ohne bekannte Schwachstellen. Nicht alle Neuerungen von TLS 1.3 sind unumstritten. So wurde zur Steigerung der Geschwindigkeit die Komponente »Zero Round Trip Time Resumption« (0-RTT) eingeführt, was es Client und Server ermöglicht, sich zu merken, ob schon einmal ein Handshake stattfand, und so auf Sicherheitskontrollen zu verzichten, indem die vorherigen Schlüssel verwendet werden.

Das erhöht die Geschwindigkeit von Verbindungen durch Senkung der Latenzzeiten, eröffnet aber nach Ansicht einiger Experten eine potenzielle Sicherheitslücke. So besteht bei der Anwendung von 0-RTT durch die Reduzierung der Round-Trips keine Forward Secrecy mehr.

Befürworter der Einführung von 0-RTT waren große Konzerne wie Google, die mit ihrer exorbitanten Zahl an Verbindungen massiv von niedrigeren Latenzen profitieren. Andere Unternehmen werden dagegen 0-RTT nicht implementieren. Weitere Änderungen bei TLS 1.3 erläutert ein Eintrag im Blog von Cloudflare.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung