{"id":294885,"date":"2024-04-30T15:31:57","date_gmt":"2024-04-30T13:31:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294885"},"modified":"2024-05-01T01:21:42","modified_gmt":"2024-04-30T23:21:42","slug":"chrome-124-macht-tls-handshake-kaputt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/30\/chrome-124-macht-tls-handshake-kaputt\/","title":{"rendered":"Chrome 124 macht TLS-Handshake kaputt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Chrome-01.jpg\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/05\/01\/chrome-124-breaks-tls-handshake\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Google hat k\u00fcrzlich seinen Google Chrome-Browser in der Version 124 ver\u00f6ffentlicht. Neben Schwachstellen haben die Entwickler auch etwas an der TLS-Verschl\u00fcsselung (X25519Kyber768-Schl\u00fcsselkapselung f\u00fcr TLS) ge\u00e4ndert. Inzwischen gibt es aber R\u00fcckmeldungen von Nutzern, die sich dar\u00fcber beklagen, dass diese \u00c4nderung das TLS-Handshake zu Webservern kaputt machen kann. Das betrifft auch auf Chromium basierende Browser wie den Edge 124.<\/p>\n<p><!--more--><\/p>\n<h2>Chrome 124.0.6367.78\/.79<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/91f6e89225d4492e99c31df9b87a1da2\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte das Update des Chrome-Browsers auf die Version 124 nicht im Blog angesprochen. Zum 24. April 2024 hatte Google den Chrome 124.0.6367.78\/.79 f\u00fcr Windows und Mac sowie 124.0.6367.78 f\u00fcr Linux freigegeben. Der Beitrag <a href=\"https:\/\/chromereleases.googleblog.com\/2024\/04\/stable-channel-update-for-desktop_24.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> im <a href=\"https:\/\/chromereleases.googleblog.com\/\" target=\"_blank\" rel=\"noopener\">Google Blog<\/a> listet vier Sicherheitsfixes f\u00fcr diese Version des Browsers auf.<\/p>\n<ul>\n<li>[$16000][332546345] Critical CVE-2024-4058: Type Confusion in ANGLE. Reported by Toan (suto) Pham and Bao (zx) Pham of Qrious Secure on 2024-04-02<\/li>\n<li>[TBD][333182464] High CVE-2024-4059: Out of bounds read in V8 API. Reported by Eirik on 2024-04-08<\/li>\n<li>[TBD][333420620] High CVE-2024-4060: Use after free in Dawn. Reported by wgslfuzz on 2024-04-09<\/li>\n<\/ul>\n<p>Eine dieser Schwachstellen wird als kritisch aufgef\u00fchrt. Auch die Chrome-Apps f\u00fcr Android und iOS wurden durch die Chrome-Entwickler aktualisiert. In den <a href=\"https:\/\/developer.chrome.com\/release-notes\/124?hl=de\" target=\"_blank\" rel=\"noopener\">Release-Notes<\/a> f\u00fcr Entwickler und <a href=\"https:\/\/support.google.com\/chrome\/a\/answer\/7679408?hl=de\" target=\"_blank\" rel=\"noopener\">hier<\/a> findet sich u.a. folgender Hinweis auf eine Neuerung:<\/p>\n<blockquote><p>X25519Kyber768-Schl\u00fcsselkapselung f\u00fcr TLS<\/p>\n<p>Sch\u00fctzt aktuellen Chrome TLS-Traffic vor zuk\u00fcnftigen Quantenkryptoanalysen, indem der quantenbest\u00e4ndige Schl\u00fcsselvereinbarungsalgorithmus Kyber768 bereitgestellt wird.<\/p>\n<p>Dies ist eine hybride X25519- und Kyber768-Schl\u00fcsselvereinbarung, die auf einem IETF-Standard basiert. Diese Spezifikation und die Einf\u00fchrung liegen au\u00dferhalb des Geltungsbereichs von W3C. Diese Schl\u00fcsselvereinbarung wird als TLS-Chiffre eingef\u00fchrt und sollte f\u00fcr Nutzer transparent sein.<\/p><\/blockquote>\n<p>Die Entwickler haben also an der TLS-X25519Kyber768-Schl\u00fcsselkapselung geschraubt, um die TLS-verschl\u00fcsselten Datenstr\u00f6me gegen Quantenkryptoanalysen zu sch\u00fctzen. Das ist aber wohl schief gegangen.<\/p>\n<h2>Chrome 124 macht TLS-Handshake kaputt<\/h2>\n<p>Mir ist das Thema gleich an zwei Stellen unter die Augen gekommen. Einmal weist Thorsten E. in nachfolgendem <a href=\"https:\/\/twitter.com\/endi24\/status\/1784869038956401135\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf ein Problem mit dem TLS-Handshake unter Google Chrome 124 hin, welches auf reddit.com in <a href=\"https:\/\/www.reddit.com\/r\/sysadmin\/comments\/1carvpd\/chrome_124_breaks_tls_handshake\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> aufgeworfen wurde.<\/p>\n<p><a href=\"https:\/\/www.reddit.com\/r\/sysadmin\/comments\/1carvpd\/chrome_124_breaks_tls_handshake\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/kgBZNbW4\/image.png\" \/><\/a><\/p>\n<p>Damit nicht andere Betroffene Stunden der Fehlersuche vergeuden, schreibt der Poster, dokumentiert er eine \u00c4nderung im Chrome 124-Browser. Es sieht so aus, dass der Google Chrome 124 eine Einstellung \"TLS 1.3 Hybridized Kyber Support\" von deaktiviert auf aktiviert als Standard ge\u00e4ndert. Dadurch wird das TLS-Handshake f\u00fcr Server gest\u00f6rt, die dann nicht mehr nicht wissen, was sie mit den zus\u00e4tzlichen Daten in der Client-Hallo-Nachricht anfangen sollen.<\/p>\n<p>Wer also pl\u00f6tzlich auf mysteri\u00f6se Weise eine fehlerhafte Webanwendung hat, und der kontaktierte Server direkt nach dem Client-Hallo einen Reset sendet, k\u00f6nnte dies mit dieser \u00c4nderung zu tun haben. Der Tipp des Posters lautet: \"Versuchen Sie, diese Einstellung zu deaktivieren. In unseren Tests funktioniert der IE-Modus ebenfalls, wahrscheinlich weil diese zus\u00e4tzlichen Daten im IE-Modus nicht \u00fcbertragen werden, w\u00e4hrend sie im normalen Edge \u00fcbertragen werden.\" Die Funktion l\u00e4sst sich in Google Chrome 124 mit dem Flag<\/p>\n<p>chrome:\/\/flags\/#enable-tls13-kyber<\/p>\n<p>manuell aktivieren. Geht man den reddit.com-Thread durch, berichten Nutzer, dass sie beispielsweise mit FortiGate-Firewalls in der Firmware 7.4.2 bekommen haben und den Web-Filter deaktivieren musste. Das Problem betrifft Sicherheitsanwendungen, Firewalls, Netzwerk-Middleware und verschiedene Netzwerkger\u00e4te von mehreren Herstellern (z. B. Fortinet, SonicWall, Palo Alto Networks, AWS). Parallel dazu bin ich bei den Kollegen von Bleeping Computer auf <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/google-chromes-new-post-quantum-cryptography-may-break-tls-connections\/\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> gesto\u00dfen, der den Sachverhalt ebenfalls thematisiert hat. Die Webseite <a href=\"https:\/\/tldr.fail\/\" target=\"_blank\" rel=\"noopener\">tldr.fail<\/a> h\u00e4lt noch einige Hinweise zum Thema post-quantum-sichere Kryptographie bereit.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Google hat k\u00fcrzlich seinen Google Chrome-Browser in der Version 124 ver\u00f6ffentlicht. Neben Schwachstellen haben die Entwickler auch etwas an der TLS-Verschl\u00fcsselung (X25519Kyber768-Schl\u00fcsselkapselung f\u00fcr TLS) ge\u00e4ndert. Inzwischen gibt es aber R\u00fcckmeldungen von Nutzern, die sich dar\u00fcber beklagen, dass diese \u00c4nderung das &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/04\/30\/chrome-124-macht-tls-handshake-kaputt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,7862],"tags":[406,154],"class_list":["post-294885","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-stoerung","tag-chrome","tag-probleme"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294885","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294885"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294885\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294885"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294885"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294885"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}