security.tls.version.max=2 Unerwünschte Konsequenzen?

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
TomL

security.tls.version.max=2 Unerwünschte Konsequenzen?

Beitrag von TomL » 05.02.2017 19:45:40

Moin

Von März 2015 bis Oktober 2015 hat mich das Thema ssl_error_bad_mac_read zum ersten Mal eine lange Zeit ziemlich beschäftigt. Das war ein total ärgerliches Problem, worüber wir auch eine Zeitlang hier im Forum gesprochen haben. Vielleicht errnnert sich der eine oder andere noch daran. Das war damals dieser Thread. Zunächst hatte ich wirklich gedacht, das Problem ist behoben, aber es war wohl eher ein zufälliges Ereignis, das ich ein paar Tage davon verschont geblieben bin. Fakt ist, dieser Fehler hat mich während der ganzen Zeit danach immer wieder geärgert. Das verrückte ist, manchmal habe ich tagelang gar nichts bemerkt, dann an anderen Tage wurde ein Seitenaufbau 10 mal mit der Meldung unterbrochen, bis es dann doch klappte. Danach gabs dann auf der selben Seite entweder gar keine Probleme mehr, oder ständig wiederholt, dafür aber am nächsten Tag nix. Also völlig willkürlich. Und es passiert nur auf https-Seiten.

Da dieser Fehler wirklich nur auf meinem Rechner aufgetreten ist, hatte ich die Beteiligung des Providers resp. der Netzverbindung erst mal ausgeschlossen. Ich habe außerdem an dem Patchkabel mein Notbook angeschlossen und dann von meinem PC via RDT gesurft.... nicht ein einziges Mal trat dieser Fehler auf. Mittlerweile wurde durch einen Providerwechsel im letzten Herbst der Router gewechselt und der Account von DSL auf VDSL geändert. Zwischenzeitlich habe ich ein zweites Billig-NIC eingebaut. Ganz egal was oder wie geändert wurde, der gleiche Fehler taucht konstant immer wieder auf. Ich hatte als weiteren Versuch bereits im alten Jahr auf einer zweiten Partion Stretch zum Spielen installiert und jetzt sogar als Hauptinstallation ebenfalls Stretch als Nachfolger meiner Jessie. Das, was wirklich konstant über die ganze Zeit geblieben ist, war dieser Fehler.... und nach wie vor NUR auf meinem Rechner. Ich habe jetzt keinen Zweifel mehr daran, dass auf meinem Rechner hardwaremäßig irgendwas anders ist, als auf allen anderen Maschinen, die bei uns ins Netz gehen. Faszinierend ist der Umstand, dass dieser Fehler in keiner einzigen VM auftaucht, mit denen ich auch regelmäßig im Web bin.... immer nur direkt auf meinem PC.

Der letzte Stand ist: Ich kann diese Fehlermeldung jetzt kontrolliert ein- bzw. ausschalten (im Sinne von vermeiden). Ich teste das jetzt bereits seit ein paar Wochen. Mit dieser "besonderen" Einstellung ist der Fehler kein einziges Mal mehr aufgetreten, mit der "alten" Einstellung tritt binnen kürzester Zeit dieser Fehler wieder auf. Das ist jetzt auf einmal wieder vermehrt aufgefallen, weil ich in meiner neuen Stretch-Installation zunächst nicht an diesen Parameter gedacht habe.

Bei dieser Einstellung geht es um die Browser-Konfiguration. Ganz egal ob Palemoon oder Firefox, der Effekt ist bei beiden gleich. Wenn ich den Default-Wert 3 in der Einstellung 'security.tls.version.max' auf 2 ändere, gibt es diesen Fehler nicht mehr. Das ist jetzt Fakt und zuverlässig reproduzierbar. Ein Nebeneffekt ist, dass ich ab und zu Seiten nicht öffnen kann... weil sie vermutlich die 3 verlangen. Das passiert sehr selten und dafür starte ich dann einen Firexfox in Firejail.... ein halbwegs akzeptabler Kompomiss.... weils eben nur selten passiert.... meistens dann, wenn ich mal irgendwelche Linux-Phänomene recherchiere.

So, nun zum Schluß die eigentliche Frage: Gibt es weitere unerwünschte Konsequenzen oder unangenehme Nebeneffekte oder reisse ich damit fette Löcher in die Sicherheit, wenn ich TLS-Max auf 2 reduziere? Kann das jemand einschätzen.... ich bin mit dieser Frage gelindegesagt total überfordert..... :roll:

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: security.tls.version.max=2 Unerwünschte Konsequenzen?

Beitrag von rendegast » 18.02.2017 16:03:00

Was ist denn mit security.tls.version.max=3, wenn Du die hardware-crypto-Module entlädst
(oder wie auch immer das sonst auf 'software' umgeschaltet wird)
?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

TomL

Re: security.tls.version.max=2 Unerwünschte Konsequenzen?

Beitrag von TomL » 18.02.2017 16:36:37

Auf die Idee wäre ich nicht gekommen. Irgendwie erinnert mich das allerdings ein wening an "den Teufel mit Beelzbug austreiben".... und da bin ich unsicher, ob das wirklich noch der wahre Jakob ist. Mir scheint, dass das momentane Problem noch irgendwie überschaubar ist, aber wenn die Hardwaremodule entfernt sind, dann weiss ich nicht, ob ich mich da nicht völlig einem zufälligen Ergebnis ausliefere. :roll:

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: security.tls.version.max=2 Unerwünschte Konsequenzen?

Beitrag von breakthewall » 18.02.2017 17:38:14

TomL hat geschrieben:Moin

Von März 2015 bis Oktober 2015 hat mich das Thema ssl_error_bad_mac_read zum ersten Mal eine lange Zeit ziemlich beschäftigt.

Danach gabs dann auf der selben Seite entweder gar keine Probleme mehr, oder ständig wiederholt, dafür aber am nächsten Tag nix. Also völlig willkürlich. Und es passiert nur auf https-Seiten.
Ich kenne diese Fehlermeldung nur in jenem Bezug, wenn es dem Browser nicht möglich war eine sichere Verbindung zum Server aufzubauen. Und sehr häufig sind veraltete Browser/Systeme dafür verantwortlich. In Debian-Stable als auch Debian-Testing, wird ja nicht nachvollziehbar auf Firefox-ESR gesetzt, der in vielfacher Weise unlängst veraltet ist. Und als wäre das nicht genug, war er in der Vergangenheit erheblich öfter angreifbar als der reguläre Firefox. Aus meiner Sicht gibt es bei einem Browser keinen stabilen Status, dass ist schlicht Unsinn. Ein Browser ist immer rund um die Uhr in Entwicklung, was eine ESR-Version völlig absurd erscheinen lässt, die bis dato keinen nennenswerten Wert hatte. Wenn man dazu noch bedenkt, dass etliche Web-Entwicklungen in die ESR-Version gar nicht einfließen, sondern idR. nur Stabilitäts -und Sicherheitsupdates, dann ist das nicht sehr verwunderlich wenn mal etwas hakt. Letztlich ist das Netz laufend in Entwicklung, was auch neueste Funktionen erforderlich macht, im Zusammenspiel mit TLS.

Andererseits muss das Problem nicht zwingend beim Client liegen, wo der Server ebenso dafür in Frage kommt. Denn ungemein viele Serverbetreiber sehen bis heute nicht ein, regelmäßige Updates einzuspielen, und gammeln selbst heute noch auf SSL 3.0 herum, was seitens OpenSSL gar nicht länger angenommen wird, oder nur im Notfall wenn ich jetzt nicht irre. Würde solche Probleme nicht gänzlich auf dem eigenen PC suchen.
TomL hat geschrieben:Das passiert sehr selten und dafür starte ich dann einen Firexfox in Firejail.... ein halbwegs akzeptabler Kompomiss.... weils eben nur selten passiert.... meistens dann, wenn ich mal irgendwelche Linux-Phänomene recherchiere.
An sich steht Firejail damit in keiner Verbindung, auch wenn es sehr gut ist einen Browser immer isoliert zu betreiben. Jedenfalls kompensiert eine Sandbox keine unsicheren Verbindungen, sondern hilft nur bei potenziellen Browserlücken.
TomL hat geschrieben:So, nun zum Schluß die eigentliche Frage: Gibt es weitere unerwünschte Konsequenzen oder unangenehme Nebeneffekte oder reisse ich damit fette Löcher in die Sicherheit, wenn ich TLS-Max auf 2 reduziere? Kann das jemand einschätzen.... ich bin mit dieser Frage gelindegesagt total überfordert..... :roll:
Würde an solchen Einstellungen niemals Hand anlegen, da sie aus gutem Grund so festgelegt wurden. Und Webseiten die sich damit nicht öffnen lassen, sollten besser gemieden werden, anstatt unsicheren Serverkonfigurationen entgegen zu kommen.

TomL

Re: security.tls.version.max=2 Unerwünschte Konsequenzen?

Beitrag von TomL » 18.02.2017 17:52:54

breakthewall hat geschrieben:Würde an solchen Einstellungen niemals Hand anlegen, da sie aus gutem Grund so festgelegt wurden. Und Webseiten die sich damit nicht öffnen lassen, sollten besser gemieden werden, anstatt unsicheren Serverkonfigurationen entgegen zu kommen.
Ich bin ziemlich diszipliniert, was mein Surf-Verhalten angeht. Mein regulärer Browser ist "Palemoon", genutzt hier fürs Forum, für Suchen und Web-Recherchen, meistens Linux-Spezifisch... und ganz sicher nie auf Seiten, die irgendwie mit "unseriös" in Verbindung gebracht werden könnten. Für das "andere" Surfen habe ich eine VM, isoliert vom Server-Netzwerk, der User völlig rechtelos. Für den JDL2 habe ich eine weitere isolierte VM, ebenso rechtelos, die "teamwork'ed" mit einem Rasperry Pi, der ebenfalls völlig rechtelos ist.

Spannend ist eben die Beobachtung, dass der Fehler weder in einer VM noch auf irgendeiner anderen Maschine auftritt, sondern NUR in meinem regulären und aktuell gehaltenen Desktop-Palemoon..... wobei es ganz egal ist, ob ich den oder irgendeinen beliebigen anderen Browser nutze. Ich habe alle versucht. Auf meinem Desktop besteht dieses Problem mit allen Browsern... und eben auch hier im Forum, oder auf Startpage, oder das Raspi-Forum, usw.... alles Seiten, die ich als unkritisch erachte, aber alles https-Seiten. Das heisst, "Seiten zu meiden" bedeutet alle Accounts abzumelden... *lol*

Also, im Fazit muss ich abwägen, mit dem, was ich wo an den Einstellungen verändere und welche Auswirkungen das haben kann. Und speziell mit meinem Desktop-Palemoon ist eh nur stark restriktives Surfen möglich. Ublock Origin blockt (gewollt) sowieso fast alles, dass komfortables und umfassendes Surfen eh nicht möglich ist. Für freies Surfen muss ich immer entweder zur VM wechseln oder eben jedesmal mit dem komplett frischen Firejail-Firefox-Profil eine Seite öffnen. Faktisch steht also als Absicht für diese Änderung dahinter, dass ich nicht mehr hier im Forum davon genervt werden will, wenn ich laufend diesen ssl-bad-mac-read-Error zu sehen kriege und etliche Male die Seite neu aufbauen muss, bis sie dann steht. Das ist nämlich auch ein spannender Umstand, nach mehreren Versuchen "Neu laden" geht die Seite dann nämlich tadellos. Danach klappen 20 DE-Forumseiten ohne Fehler, dann ist wieder 10 mal "Neu laden" notwendig, damit eine Seite geht, wobei dieselbe Seite danach aber wieder unzählige Male fehlerlos geöffnet wird. Der Fehler ist völlig willkürlich, und absolut nervend.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: security.tls.version.max=2 Unerwünschte Konsequenzen?

Beitrag von rendegast » 19.02.2017 12:28:31

TomL hat geschrieben: Spannend ist eben die Beobachtung, dass der Fehler weder in einer VM noch auf irgendeiner anderen Maschine auftritt, sondern NUR in meinem regulären und aktuell gehaltenen Desktop-Palemoon
In den VM gibt es wohl gar kein hardware-crypto.
Auf den anderen Real-Maschinen auch nicht? oder abgespeckt (~ problemloser, well-known)?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

TomL

Re: security.tls.version.max=2 Unerwünschte Konsequenzen?

Beitrag von TomL » 20.02.2017 14:18:27

rendegast hat geschrieben:Auf den anderen Real-Maschinen auch nicht? oder abgespeckt (~ problemloser, well-known)?
Das habe ich jetzt mal überprüft.... und meiner Interpretation der Ergebnisse nach ist das weitestgehend identisch zu meinem PC - zumindest gibt es in den grundsätzlichen Ausgaben keine relevanten Unterschiede. Allerdings haben unsere Dell's eine Intel-CPU ... *hmmm*... keine Ahnung, ob AMD auf meinem PC vielleicht doch die Ursache für die Probleme ist.

Antworten