IETF verabschiedet Verschlüsselungsprotokoll TLS 1.3

Die Internet Engineering Task Force (IETF) hat die finalen Spezifikationen für Transport Layer Security 1.3 genehmigt. Das Verschlüsselungsprotokoll wird unter anderem für die Absicherung von HTTP-Verbindungen im Internet benutzt. Es kommt aber auch zum Einsatz, um Verbindungen über Protokolle wie POP3, IMAP oder SMTP zu verschlüsseln.

Die jetzt verabschiedeten Spezifikationen basieren auf dem 28. Entwurf für TLS 1.3. Sie wurden in den vergangenen vier Jahren getestet und ausgehandelt. TLS 1.3 ist Nachfolger des 2008 verabschiedeten TLS 1.2.

Die neue Version soll vor allem Angriffe verhindern, die die Sicherheit von mit der Vorgängerversion geschützter Kommunikation untergraben. Dafür unterstützt TLS 1.3 eine stärkere Verschlüsselung. Zudem werden einige veraltete Verschlüsselungsalgorithmen nicht mehr unterstützt.

Neu ist eine Zero Round Trip Time Resumption (o-RTT) genannte Funktion. Sie soll die Paketumlaufzeit verkürzen und so Verbindungen zu Websites beschleunigen, die ein Nutzer häufiger besucht. Darüber hinaus soll sie die Latenzzeiten in mobilen Netzwerken reduzieren.

Die Umstellung auf TLS 1.3 ist bereits seit einigen Jahren im Gange – allerdings nicht ohne Probleme und Hindernisse. Einer Studie von Cloudflare zufolge, das TLS 1.3 serverseitig seit 2017 unterstützt, war im Dezember 2017 nur 0,6 Prozent des über Cloudflare abgewickelten Traffics mit TLS 1.3 abgesichert. Ein Grund dafür ist, dass Browser wie Chrome, Firefox, Opera und Edge TLS 1.3 zwar unterstützen, voreingestellt jeglichen Datenverkehr aber mit TLS 1.2 absichern.

Wichtiger ist jedoch, dass die Implementierung von TLS 1.2 in bestimmten Netzwerk-Appliances zu Problemen mit TLS 1.3 führt. Im vergangenen Jahr traf es nach einem Update auf Chrome OS 56 mehr als 100.000 Chromebooks. Sie konnten sich nicht mehr mit dem Internet verbinden, da die BlueCoat-Appliances von Symantec nicht in der Lage waren, bei Verbindungsanfragen per TLS 1.3 ein Downgrade auf TLS 1.2 auszuhandeln. Aus diesem Grund stehen auch einige US-Banken TLS 1.3 noch skeptisch gegenüber. Sie müssen unter Umständen die für die Überwachung des eigenen Netzwerkverkehrs angeschafften Appliances austauschen, um nicht auf denselben Fehler zu stoßen.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.