Abo
  • Services:
Anzeige
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

DANE könnte die Echtheitsprüfung von Zertifikaten bei TLS-Verbindungen verbessern. Allerdings benötigt das System DNSSEC - und das ist bislang kaum verbreitet. Der Mailanbieter Posteo prescht jetzt voran und will das System etablieren.

Anzeige

Der E-Mail-Anbieter Posteo setzt künftig auf DANE, um Kunden die Möglichkeit zu bieten, Zertifikate für TLS-Verbindungen zu prüfen. Die Idee dabei ist es, im Domain Name System Informationen über Zertifikate abzulegen, so dass Browser oder andere Clients deren Echtheit über einen zusätzlichen Mechanismus prüfen können. DANE baut dabei auf das DNSSEC-System auf, mit dem DNS-Einträge signiert werden können.

DANE steht für DNS-based Authentification of Name Entries und ist im RFC 6698 standardisiert. Es könnte ein Baustein sein, um die Sicherheit von Zertifikaten zu verbessern. Allerdings ist der Schritt von Posteo im Moment allenfalls von symbolischer Bedeutung: Die Verbreitung von DNSSEC ist gering, und solange niemand DNSSEC-Signaturen und DANE prüft, nützt die Technologie auch nichts.

Das Problem ist offensichtlich: Bislang liefert jeder Browser eine lange Liste von Zertifizierungsstellen mit, denen jeder Nutzer automatisch vertraut. Dass dieses Vertrauen kaum gerechtfertigt ist, zeigt die Erfahrung. Zahlreiche Zertifizierungsstellen haben in der Vergangenheit teilweise Hunderte gefälschte Zertifikate ausgestellt, oft hielten sich Zertifizierungsstellen nicht einmal an die von ihnen selbst aufgestellten Regeln. Diginotar, Comodo oder Türktrust stehen für den Verlust an Vertrauen in das System der Zertifizierungsstellen.

Doch obwohl das System der Zertifizierungsstellen in so vielen Fällen katastrophal versagt hat, gestaltet sich die Suche nach Alternativen schwierig. Einige Vorschläge liegen zwar auf dem Tisch, darunter das Pinning-System TACK oder das von Google vorgeschlagene System Certificate Transparency, doch bislang konnte sich keiner durchsetzen.

Voraussetzung DNSSEC

Das Domain Name System (DNS), das dafür zuständig ist, im Internet Domainnamen wie Golem.de mit IP-Adressen wie 176.74.59.148 zu verknüpfen, ist schon etwas älter und sieht in seiner ursprünglichen Form praktisch keine Sicherheitsmechanismen vor. Ob eine DNS-Antwort echt ist, lässt sich nicht prüfen, sie könnte auch von einem Angreifer stammen. DNSSEC soll hier Abhilfe schaffen: Ein Signatursystem für Domainnamen. Die Grundidee: Es existiert ein globaler Root-Schlüssel bei der Icann, dieser signiert jeweils Schlüssel für die einzelnen Top Level Domains wie .com oder .de und diese signieren wiederum Schlüssel für die einzelnen Domains. Betreiber von DNS-Servern können dann die DNS-Antworten selbst ebenfalls signiert ausliefern.

Im Jahr 2008 hat der Sicherheitsforscher Dan Kaminsky einen Angriff auf DNS vorgestellt, der sich oftmals auch praktisch ausnutzen ließ. Dieser wurde in den gängigen DNS-Servern zwar durch Workarounds erschwert, aber klar war, dass langfristig DNS nicht mehr sicher genug ist. Der Ruf nach DNSSEC wurde lauter. Allerdings ist das jetzt sechs Jahre her. Seitdem wurde zwar die Basisinfrastruktur für DNSSEC etabliert und die meisten Top Level Domains haben DNSSEC-Schlüssel, wirklich genutzt wird DNSSEC allerdings bis heute nur sehr selten - und zwar sowohl auf Server- als auch auf Client-Seite.

Aktuellen Statistiken zufolge nutzt etwa ein Prozent der laut Alexa beliebtesten Webseiten DNSSEC. In Deutschland sieht es sogar noch schlechter aus: Hier beträgt die Verbreitung lediglich 0,4 Prozent. Sie ist damit noch geringer als die Verbreitung von IPv6. Zumindest zum jetzigen Zeitpunkt kann man DNSSEC also getrost als Vapoware bezeichnen.

Doch selbst bei Domains, die mit DNSSEC geschützt sind, nützt das Ganze in aller Regel überhaupt nichts. Denn ein Client müsste erst einmal prüfen, ob die Signaturen eines DNS-Eintrags korrekt sind. Wie das ablaufen soll, ist völlig unklar. Bislang funktionieren die DNS-Operationen meistens so, dass eine Software, etwa ein Browser, Funktionen des Betriebssystems zur DNS-Auflösung aufruft und das Betriebssystem dann relativ direkt einen entsprechenden DNS-Server aufruft. Meist ist dies der DNS-Server des Zugangsproviders, beispielsweise der Telekom.

Es gäbe nun mehrere Möglichkeiten, hier DNSSEC einzuführen. Nutzer können sich etwa lokal einen eigenen DNS-Server installieren, der die Signaturen prüft. Vorstellbar wäre auch, dass der Browser selbst eine Art Mini-DNS-Server betreibt, der die Signaturen prüft. Ebenfalls denkbar wäre es, dass nur der Provider die DNSSEC-Einträge prüft. Sonderlich empfehlenswert wäre das aber nicht, denn dann müsste der Nutzer darauf vertrauen, dass der Zugangsprovider die Signaturen korrekt prüft.

Wie auch immer DNSSEC in Zukunft genau umgesetzt werden soll: Im Moment wird es weder von Betriebssystemen noch von irgendeinem Browser geprüft.

DANE und SSHFP: Fingerprints im DNS 

eye home zur Startseite
chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. T-Systems International GmbH, München
  3. Schweickert Netzwerktechnik GmbH, Walldorf
  4. TAKATA AG, Berlin, Aschaffenburg


Anzeige
Top-Angebote
  1. 94,90€ statt 109,90€
  2. 74,90€
  3. (u. a. The Expendables 3 Extended 7,29€, Fight Club 6,56€, Predator 1-3 Collection 24,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Freudenberg IT


  1. Bildbearbeitung unmöglich

    Lightroom-App für Apple TV erschienen

  2. Quartalszahlen

    Apple-Gewinn bricht wegen schwächerer iPhone-Verkäufe ein

  3. SSD

    Crucial erweitert MX300-Serie um 275, 525 und 1.050 GByte

  4. Shroud of the Avatar

    Neustart der Ultima-ähnlichen Fantasywelt

  5. Spielekonsole

    In Nintendos NX stecken Nvidias Tegra und Cartridges

  6. Nach Terroranschlägen

    Bayern fordert Ausweitung der Vorratsdatenspeicherung

  7. Android-Smartphone

    Update soll Software-Probleme beim Oneplus Three beseitigen

  8. Tim Sweeney

    "Microsoft will Steam zerstören"

  9. Störerhaftung weg

    Kommt nun der Boom für offene WLANs?

  10. Fusion mit Hailo

    Mytaxi wird zum größten App-basierten Taxivermittler Europas



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

  1. Re: Windows-Unterstützung

    Seitan-Sushi-Fan | 05:32

  2. De Maizière hätte die Tat verhindern können.

    Pjörn | 05:19

  3. Re: Ich bete, dass das nicht stimmt ...

    Seitan-Sushi-Fan | 04:42

  4. Re: Achtziger an Nintendo: Wir wollen unsere...

    Seitan-Sushi-Fan | 04:31

  5. Re: Warum ist das Steammonopol besser?

    Seitan-Sushi-Fan | 04:16


  1. 23:40

  2. 23:14

  3. 18:13

  4. 18:06

  5. 17:37

  6. 16:54

  7. 16:28

  8. 15:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel