[English]Frage in die Runde: Hat jemand Probleme beim Google Chrome 92 oder beim Edge-Pendant festgestellt, wenn die aufgerufene Domain mit dem Buchstaben a (Amazon, Autodesk etc.) beginnt? Das versuchsweise ausgerollte CECPQ2 kollidiert möglicherweise mit Fortigate 6.4.5 und der übergreifenden Palo Alto-Lösungen.
Anzeige
Ein Blog-Leser hat mich auf den nachfolgenden Tweet zum Thema aufmerksam gemacht. Es scheint Probleme mit der TLS-Entschlüsselung in Chrome/Edge 92 zu geben, die sich auf Proxy Server und Firewalls auswirken.
Auf reddit.com findet sich dieser Post mit dem Titel TLS Decryption and Chrome/Edge 92 – CECPQ2, looks like this is impacting Fortigate 6.4.5 along with the cross threaded Palo Altos, der einige Informationen zusammenträgt. Der Betreffende schreibt:
TLS Decryption and Chrome/Edge 92 – CECPQ2
Just came across this this morning so I don't have all the facts locked down yet. But it would appear the version 92 of the chromium based browsers has started rolling out CECPQ2 to all domains starting with "a".
This has broken autodesk.com when I'm decrypting it. I've tried downgrading it to TLS1.2 with a decryption policy with no success. Bypassing of course works.
CECPQ2 – The Chromium Projects
There is a policy but I was hoping for a more global work around before i have to push it to thousands of computers.
Chrome Enterprise policy list and management | Documentation
Anyone else come across this and have any luck yet?
I'm running 10.0.5 on 5220's
Chrome unterstützt optional CECPQ2 in TLS 1.3-Verbindungen. Die Chromium-Entwickler haben wohl damit angefangen, im Chromium 92 CECPQ2 für alle Domains zu aktivieren, die mit dem Buchstaben a anfangen. Später sollen Domains folgen, die mit anderen Buchstaben beginnen. Das führt aber zu Schwierigkeiten in Verbindung mit Fortigate 6.4.5. Jemand von euch, der auf ähnliche Probleme gestoßen ist?
CECPQ2 ist die Bezeichnung für die Kombination von X25519 und einer experimentellen, auf NTRU-HRSS-KEM basierenden Post-Quanten-Schlüsselvereinbarung. Diese Kombination bietet mindestens die Sicherheit von X25519, kombiniert mit der Wahrscheinlichkeit, dass sie zukünftigen großen Quantencomputern widersteht, die andernfalls alle bestehenden TLS-Verbindungen entschlüsseln könnten.
Anzeige
Erinnert mich an den Bug von letztens, wo sie beim DNS-Server bind9 das W vergessen haben:
https://gitlab.isc.org/isc-projects/bind9/-/commit/9f13e610417fd5b80bce723c6202d0535cbf2f24
Bei mir mit Win7 funktionieren die Seiten mit a am Anfang (apple.com, amazon.de, autodesk.com).
Im ungoogled Chromium 92.0.4515.131 unter
chrome://flags/
kann man CECPQ2 in das Suchfeld eingeben und einstellen zwischen default, enabled, disabled.
In allen 3 Varianten funktionieren bei mir bisher alle Seiten mit a am Anfang.
Allerdings werden die Adressen automatisch durch ein "www." am Anfang ergänzt.
Das liegt vermutlich an meinen DNS-Servern 9.9.9.9 und 1.1.1.1
Das Problem mit der TLS-Entschlüsselung liegt also weder an den Webseiten noch am Chromium oder dieser neuen Option, sondern an zwischengeschalteter Software wie Proxies oder nicht-Windows-Firewalls, die mit dem längeren Befehl nicht zurecht kommen.
Es steht oben im Artikel, dass das Problem nicht pauschal auftritt:
"looks like this is impacting Fortigate 6.4.5 along with the cross threaded Palo Altos"
"CECPQ2 makes some TLS messages larger. Some non-compliant network middleware doesn't correctly handle these larger messages and can cause unexpected connection failures or timeouts."
chromium[.]org[slash]cecpq2
Mit FortiOS6.4.6(!!) und Chrome Version 92.0.4515.131 (Offizieller Build) (64-Bit)
nicht nachstellbar.
Dies! Und zur Not von Proxy-Mode (Fluch und Segen zugleich) auf Flow-Mode wechseln.
Google scheint es für alle domains aktiviert zu haben….
https://bugs.chromium.org/p/chromium/issues/detail?id=930812#c14
"Temporarily enable CECPQ2 for everything."
Am 6.08 gab es aber eine Code Änderung die es wieder zurück wechselt…
https://chromium.googlesource.com/chromium/src/+/4d179ee619bdc8237e41492b291f04ba10f93d71
Generell gibt es auch ein paar Bugs dazu…
https://bugs.chromium.org/p/chromium/issues/detail?id=1236622&q=component%3AInternals%3ENetwork%3ESSL