Anzeige
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

DANE könnte die Echtheitsprüfung von Zertifikaten bei TLS-Verbindungen verbessern. Allerdings benötigt das System DNSSEC - und das ist bislang kaum verbreitet. Der Mailanbieter Posteo prescht jetzt voran und will das System etablieren.

Anzeige

Der E-Mail-Anbieter Posteo setzt künftig auf DANE, um Kunden die Möglichkeit zu bieten, Zertifikate für TLS-Verbindungen zu prüfen. Die Idee dabei ist es, im Domain Name System Informationen über Zertifikate abzulegen, so dass Browser oder andere Clients deren Echtheit über einen zusätzlichen Mechanismus prüfen können. DANE baut dabei auf das DNSSEC-System auf, mit dem DNS-Einträge signiert werden können.

DANE steht für DNS-based Authentification of Name Entries und ist im RFC 6698 standardisiert. Es könnte ein Baustein sein, um die Sicherheit von Zertifikaten zu verbessern. Allerdings ist der Schritt von Posteo im Moment allenfalls von symbolischer Bedeutung: Die Verbreitung von DNSSEC ist gering, und solange niemand DNSSEC-Signaturen und DANE prüft, nützt die Technologie auch nichts.

Das Problem ist offensichtlich: Bislang liefert jeder Browser eine lange Liste von Zertifizierungsstellen mit, denen jeder Nutzer automatisch vertraut. Dass dieses Vertrauen kaum gerechtfertigt ist, zeigt die Erfahrung. Zahlreiche Zertifizierungsstellen haben in der Vergangenheit teilweise Hunderte gefälschte Zertifikate ausgestellt, oft hielten sich Zertifizierungsstellen nicht einmal an die von ihnen selbst aufgestellten Regeln. Diginotar, Comodo oder Türktrust stehen für den Verlust an Vertrauen in das System der Zertifizierungsstellen.

Doch obwohl das System der Zertifizierungsstellen in so vielen Fällen katastrophal versagt hat, gestaltet sich die Suche nach Alternativen schwierig. Einige Vorschläge liegen zwar auf dem Tisch, darunter das Pinning-System TACK oder das von Google vorgeschlagene System Certificate Transparency, doch bislang konnte sich keiner durchsetzen.

Voraussetzung DNSSEC

Das Domain Name System (DNS), das dafür zuständig ist, im Internet Domainnamen wie Golem.de mit IP-Adressen wie 176.74.59.148 zu verknüpfen, ist schon etwas älter und sieht in seiner ursprünglichen Form praktisch keine Sicherheitsmechanismen vor. Ob eine DNS-Antwort echt ist, lässt sich nicht prüfen, sie könnte auch von einem Angreifer stammen. DNSSEC soll hier Abhilfe schaffen: Ein Signatursystem für Domainnamen. Die Grundidee: Es existiert ein globaler Root-Schlüssel bei der Icann, dieser signiert jeweils Schlüssel für die einzelnen Top Level Domains wie .com oder .de und diese signieren wiederum Schlüssel für die einzelnen Domains. Betreiber von DNS-Servern können dann die DNS-Antworten selbst ebenfalls signiert ausliefern.

Im Jahr 2008 hat der Sicherheitsforscher Dan Kaminsky einen Angriff auf DNS vorgestellt, der sich oftmals auch praktisch ausnutzen ließ. Dieser wurde in den gängigen DNS-Servern zwar durch Workarounds erschwert, aber klar war, dass langfristig DNS nicht mehr sicher genug ist. Der Ruf nach DNSSEC wurde lauter. Allerdings ist das jetzt sechs Jahre her. Seitdem wurde zwar die Basisinfrastruktur für DNSSEC etabliert und die meisten Top Level Domains haben DNSSEC-Schlüssel, wirklich genutzt wird DNSSEC allerdings bis heute nur sehr selten - und zwar sowohl auf Server- als auch auf Client-Seite.

Aktuellen Statistiken zufolge nutzt etwa ein Prozent der laut Alexa beliebtesten Webseiten DNSSEC. In Deutschland sieht es sogar noch schlechter aus: Hier beträgt die Verbreitung lediglich 0,4 Prozent. Sie ist damit noch geringer als die Verbreitung von IPv6. Zumindest zum jetzigen Zeitpunkt kann man DNSSEC also getrost als Vapoware bezeichnen.

Doch selbst bei Domains, die mit DNSSEC geschützt sind, nützt das Ganze in aller Regel überhaupt nichts. Denn ein Client müsste erst einmal prüfen, ob die Signaturen eines DNS-Eintrags korrekt sind. Wie das ablaufen soll, ist völlig unklar. Bislang funktionieren die DNS-Operationen meistens so, dass eine Software, etwa ein Browser, Funktionen des Betriebssystems zur DNS-Auflösung aufruft und das Betriebssystem dann relativ direkt einen entsprechenden DNS-Server aufruft. Meist ist dies der DNS-Server des Zugangsproviders, beispielsweise der Telekom.

Es gäbe nun mehrere Möglichkeiten, hier DNSSEC einzuführen. Nutzer können sich etwa lokal einen eigenen DNS-Server installieren, der die Signaturen prüft. Vorstellbar wäre auch, dass der Browser selbst eine Art Mini-DNS-Server betreibt, der die Signaturen prüft. Ebenfalls denkbar wäre es, dass nur der Provider die DNSSEC-Einträge prüft. Sonderlich empfehlenswert wäre das aber nicht, denn dann müsste der Nutzer darauf vertrauen, dass der Zugangsprovider die Signaturen korrekt prüft.

Wie auch immer DNSSEC in Zukunft genau umgesetzt werden soll: Im Moment wird es weder von Betriebssystemen noch von irgendeinem Browser geprüft.

DANE und SSHFP: Fingerprints im DNS 

eye home zur Startseite
chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...

Kommentieren



Anzeige

  1. Trainee (m/w) IT-Anwendungen
    Süwag Energie AG, Frankfurt am Main
  2. IT Infrastruktur Support (m/w)
    RATIONAL AG, Landsberg am Lech
  3. NetCracker Senior Architect / Designer OSS (m/w)
    T-Systems International GmbH, Berlin
  4. Professional IT Consultant Automotive Marketing und Sales (m/w)
    T-Systems International GmbH, Leinfelden-Echterdingen

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Section Control

    Bremsen vor Blitzern soll nicht mehr vor Bußgeld schützen

  2. Beam

    ISS-Modul erfolgreich aufgeblasen

  3. Arbeitsbedingungen

    Apple-Store-Mitarbeiterin gewährt Blick hinter die Kulissen

  4. Modulares Smartphone

    Project-Ara-Ideengeber hat von Google mehr erwartet

  5. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  6. Model S

    Teslas Autopilot verursacht Auffahrunfall

  7. Security

    Microsoft will Passwort 'Passwort' verbieten

  8. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  9. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  10. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. Konkurrenz zu DJI Xiaomi mit Kampfpreis für Mi-Drohne
  2. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

  1. Re: Find ich gut...

    Xstream | 13:16

  2. Re: Das ist problematisch, weil...

    Xstream | 13:15

  3. Re: Die Stasi war dagegen harmlos...

    Krille | 13:14

  4. Re: Keinerlei Kontrolle

    Xstream | 13:13

  5. Das gibts doch schon ewig?

    Xstream | 13:12


  1. 12:45

  2. 12:12

  3. 11:19

  4. 09:44

  5. 14:15

  6. 13:47

  7. 13:00

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel