Chrome/Edge 92: Probleme mit TLS-Entschlüsselung?

[English]Frage in die Runde: Hat jemand Probleme beim Google Chrome 92 oder beim Edge-Pendant festgestellt, wenn die aufgerufene Domain mit dem Buchstaben a (Amazon, Autodesk etc.) beginnt? Das versuchsweise ausgerollte CECPQ2 kollidiert möglicherweise mit Fortigate 6.4.5 und der übergreifenden Palo Alto-Lösungen.


Anzeige

Ein Blog-Leser hat mich auf den nachfolgenden Tweet zum Thema aufmerksam gemacht. Es scheint Probleme mit der TLS-Entschlüsselung in Chrome/Edge 92 zu geben, die sich auf Proxy Server und Firewalls auswirken.

Auf reddit.com findet sich dieser Post mit dem Titel TLS Decryption and Chrome/Edge 92 – CECPQ2, looks like this is impacting Fortigate 6.4.5 along with the cross threaded Palo Altos, der einige Informationen zusammenträgt. Der Betreffende schreibt:

TLS Decryption and Chrome/Edge 92 – CECPQ2

Just came across this this morning so I don't have all the facts locked down yet. But it would appear the version 92 of the chromium based browsers has started rolling out CECPQ2 to all domains starting with "a".

This has broken autodesk.com when I'm decrypting it. I've tried downgrading it to TLS1.2 with a decryption policy with no success. Bypassing of course works.

CECPQ2 – The Chromium Projects

There is a policy but I was hoping for a more global work around before i have to push it to thousands of computers.

Chrome Enterprise policy list and management | Documentation

Anyone else come across this and have any luck yet?

I'm running 10.0.5 on 5220's

Chrome unterstützt optional CECPQ2 in TLS 1.3-Verbindungen. Die Chromium-Entwickler haben wohl damit angefangen, im Chromium 92 CECPQ2 für alle Domains zu aktivieren, die mit dem Buchstaben a anfangen. Später sollen Domains folgen, die mit anderen Buchstaben beginnen. Das führt aber zu Schwierigkeiten in Verbindung mit Fortigate 6.4.5. Jemand von euch, der auf ähnliche Probleme gestoßen ist?

CECPQ2 ist die Bezeichnung für die Kombination von X25519 und einer experimentellen, auf NTRU-HRSS-KEM basierenden Post-Quanten-Schlüsselvereinbarung. Diese Kombination bietet mindestens die Sicherheit von X25519, kombiniert mit der Wahrscheinlichkeit, dass sie zukünftigen großen Quantencomputern widersteht, die andernfalls alle bestehenden TLS-Verbindungen entschlüsseln könnten.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Edge, Google Chrome abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Chrome/Edge 92: Probleme mit TLS-Entschlüsselung?

  1. Stephan sagt:

    Erinnert mich an den Bug von letztens, wo sie beim DNS-Server bind9 das W vergessen haben:

    https://gitlab.isc.org/isc-projects/bind9/-/commit/9f13e610417fd5b80bce723c6202d0535cbf2f24

  2. Bolko sagt:

    Bei mir mit Win7 funktionieren die Seiten mit a am Anfang (apple.com, amazon.de, autodesk.com).

    Im ungoogled Chromium 92.0.4515.131 unter
    chrome://flags/
    kann man CECPQ2 in das Suchfeld eingeben und einstellen zwischen default, enabled, disabled.
    In allen 3 Varianten funktionieren bei mir bisher alle Seiten mit a am Anfang.

    Allerdings werden die Adressen automatisch durch ein "www." am Anfang ergänzt.
    Das liegt vermutlich an meinen DNS-Servern 9.9.9.9 und 1.1.1.1

    Das Problem mit der TLS-Entschlüsselung liegt also weder an den Webseiten noch am Chromium oder dieser neuen Option, sondern an zwischengeschalteter Software wie Proxies oder nicht-Windows-Firewalls, die mit dem längeren Befehl nicht zurecht kommen.

    • FriedeFreudeEierkuchen sagt:

      Es steht oben im Artikel, dass das Problem nicht pauschal auftritt:
      "looks like this is impacting Fortigate 6.4.5 along with the cross threaded Palo Altos"

  3. Bolko sagt:

    "CECPQ2 makes some TLS messages larger. Some non-compliant network middleware doesn't correctly handle these larger messages and can cause unexpected connection failures or timeouts."

    chromium[.]org[slash]cecpq2

  4. Dietmar sagt:

    Mit FortiOS6.4.6(!!) und Chrome Version 92.0.4515.131 (Offizieller Build) (64-Bit)
    nicht nachstellbar.

  5. Nobody sagt:

    Google scheint es für alle domains aktiviert zu haben….

    https://bugs.chromium.org/p/chromium/issues/detail?id=930812#c14

    "Temporarily enable CECPQ2 for everything."

    Am 6.08 gab es aber eine Code Änderung die es wieder zurück wechselt…

    https://chromium.googlesource.com/chromium/src/+/4d179ee619bdc8237e41492b291f04ba10f93d71

    Generell gibt es auch ein paar Bugs dazu…

    https://bugs.chromium.org/p/chromium/issues/detail?id=1236622&q=component%3AInternals%3ENetwork%3ESSL

Schreibe einen Kommentar zu Bolko Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.