Google har måttet deaktivere TLS 1.3-støtten i Chrome fordi kunder opplevde problemer med tredjeparts sikkerhetsutstyr.
Google har måttet deaktivere TLS 1.3-støtten i Chrome fordi kunder opplevde problemer med tredjeparts sikkerhetsutstyr. (Bilde: Wikipedia)

Google Chrome

Chrome fikk støtte for TLS 1.3. Det var ikke problemfritt

Selv om arbeidet med å fullføre den nye, sikrere og mer effektive krypteringsprotokollen TLS 1.3 (Transport Layer Security) ennå ikke er fullført, har Google bygget inn støtte for protokollen i Chrome 56, den nåværende utgaven av nettleseren.

Dette skal blant annet bidra til at tiden det tar å etablere en kryptert HTTPS-forbindelse mellom nettleseren og webserveren, kan reduseres. Dette forutsetter selvfølgelig at TLS 1.3 også støttes på serversiden. Men mye tyder på at i alle fall flere av Googles egne tjenester har slik støtte.

Deaktiveres

Men nå har Google valgt å deaktivere støtten for TLS 1.3 i Chrome igjen. Årsaken er at introduksjonen av støtten for den nye protokollen ikke har gått helt smertefritt for seg. Dette skriver blant annet The Register.

I en feilrapport skriver Jay H. Lee i Google at minst én av selskapets store kunder opplever at i alle fall sikkerhetsproxyer og brannmurer fra Symantec-eide BlueCoat «legger på røret» når Chrome forsøker å opprette en forbindelse til Google-tjenester som YouTube og kontosidene.

Også Chrome OS

Situasjonen er kanskje verst for Chromebook-brukere. I en kommentar til feilrapporten skrev en Thomas C. at mer enn 50 000 av de mer enn 120 000 Chromebook-enhetene som han administrerer ved Montgomery County Public Schools i Maryland, har blitt oppdatert til Chrome OS 56. 

– Mer enn 30 prosent av disse 50 000 Chromebookene sitter fast i en tilstand hvor det veksles mellom innloggingsskjermen og «Network not available»-skjermen. I blant kan du i kort tid se en SSL_HANDSHAKE_ERROR på innloggingsskjermen før den veksler tilbake til Network not available»-skjermen, skriver han.

Han opplyser videre at en del av de flere av de titalls tusen pc-ene i hans driftsmiljø også har tilsvarende problemer. 

Thomas C. har funnet tre ulike løsninger som fungerer, blant annet å skru av TLS 1.3-støtten i Chrome eller Chrome OS hos hver enkelt bruker. Dette kan gjøres på denne siden.

Feil implementert

Google er ikke i tvil om at problemet skyldes dårlig implementering av TLS i enkelte sikkerhetsprodukter. TLS er bakoverkompatibel, slik at dersom en motpart ikke støtter for eksempel TLS 1.3, så forsøker man å opprette en forbindelse basert på en eldre utgave av protokollen.

Men dette feiler når Chrome og Chrome OS først ber om en TLS 1.3-forbindelse til en webserver, dersom det hos brukeren for eksempel er en BlueCoat 6.5-proxy som portvakt mot internett.

I en kommentar til The Register sier en talsperson for Symantec at selskapet har blitt varslet om problemet og jobber med å løse det.

Det ser ikke ut til at oppdateringen som deaktiverer TLS 1.3-støtten i Chrome og Chrome OS (versjon 56.0.2924.110, plattform 9000.91.00) har blitt rullet ut til alle riktig ennå. Men ifølge Lee er det mulig å fremskynde denne oppdateringen. Hvordan dette kan gjøres, beskriver han her.

Også Mozilla planlegger å komme med delvis TLS 1.3-støtte i Firefox om kort tid. Det er uklart om Googles erfaringer vil påvirke Mozillas planer.

Les også: Mener tiden er inne for å ta i bruk kryptoteknologien TLS 1.3

Kommentarer (0)

Kommentarer (0)
Til toppen