DANE: Let's Encrypt kann E-Mail-Servern Probleme machen

Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.

Artikel veröffentlicht am ,
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen.
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen. (Bild: Pixabay)

Im Zuge des lang angekündigten Zertifikatswechsel bei der freien Zertifizierungsstelle Let's Encrypt hat das Team damit begonnen, ein neues Zwischenzertifikat zu nutzen. Das sollte eigentlich noch keine Probleme verursachen, da der große Bruch erst für kommendes Jahr geplant ist, worauf das Team selbst hinweist. Wie der Exim-Entwickler Phil Pennock nun aber schreibt, kann die Änderung unter bestimmten Umständen dennoch Probleme bei E-Mail-Servern verursachen.

In der Ankündigung heißt es: "Wenn Sie DANE zum Anpinnen Ihrer Zertifikate verwenden (...) und noch keine Unterstützung für die neuen Zwischenzertifikate hinzugefügt haben, haben Sie jetzt ein Problem: Sobald Ihre Systeme die Zertifikate erneuern, werden andere E-Mail-Systeme, die DANE verifizieren, Verbindungen zu Ihrem Mailserver ablehnen, da eine nicht autorisierte Zertifizierungsstelle verwendet wird".

Die Idee von Let's Encrypt und dem zugrundeliegenden ACME-Protokoll ist es, die Erneuerung der genutzten Zertifikate automatisiert durchzuführen. Geschieht dies wie in dem hier beschriebenen Fall, jedoch ohne die weiteren technischen Informationen darauf anzupassen, werden keine E-Mails mehr zugestellt.

Mit Hilfe von DANE können Domain-Inhaber und Serverbetreiber Zertifikate und etwa deren öffentliche Schlüssel in einem DNS-Resource-Record hinterlegen. So sollen sie selbst festlegen können, welchen Zertifikaten für die Verbindung vertraut wird und Clients können dies überprüfen. DANE baut dabei auf DNSSEC auf. In einem Kommentar vor fünf Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

DANE wird kaum genutzt

In der Praxis konnte sich DANE bisher bei den großen Mailhostern kaum durchsetzen. Zwar hat das Protokoll in Deutschland eine gewisse Verbreitung erlangt, so unterstützen etwa GMX, Web.de und kleinere Provider wie Posteo oder Mailbox.org das Protokoll. International ist DANE aber bedeutungslos und die Nutzung im Browser praktisch tot. Der Fehler im Zusammenhang mit dem Zertifikatswechsel sollte also nur vergleichsweise geringe Auswirkungen haben und betrifft vermutlich vor allem jene, die eigene E-Mail-Server betreiben und DANE verwenden.

Die aktuelle Warnung in Bezug auf die neuen Zwischenzertifikate von Exim zeigt jedoch erneut, dass die Ideen zum zusätzlichen Absichern von TLS-Zertifikaten einige praktische Probleme haben. Das Anpinnen des öffentlichen Schlüssels eines Zertifikats wurde als ähnliche Idee zu DANE in Browsern per HPKP verfolgt. Die Technik wurde nach wenigen Jahren aber wieder entfernt, da auch dies unter Umständen zur Nichterreichbarkeit von Webservern geführt hat - analog wie das nun beschriebene Problem für E-Mail-Server. Mittlerweile setzen die großen Betreiber von Mailservern auf den Standard MTA-STS, der die verschlüsselten Verbindungen zwischen ihnen absichern soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


freebyte 05. Dez 2020

Also bei Mail zeigt die Erfahrung, dass Verschlüsselung eigentlich für die Katz ist. Ich...

ikhaya 03. Dez 2020

So würde ich das auch sagen.

Goonie 03. Dez 2020

Das sehe ich nicht ganz so kritisch. Wenn ein Verfahren zu unsicher wird, wird...

damluk 03. Dez 2020

RFC6698 section-2.1.1 Certificate usage 2



Aktuell auf der Startseite von Golem.de
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt

Die Analyse eines schwerwiegenden Ausfalls bei Reddit zeigt, wie kritisch institutionelles Wissen sein kann.

Reddit: Stundenlanger Ausfall, weil niemand mehr den Code kennt
Artikel
  1. Entlassungen bei Techfirmen: Weniger Manager sind besser
    Entlassungen bei Techfirmen
    Weniger Manager sind besser

    Entlassungen sind schlimm, aber die Begründungen dafür etwa von Meta kann ich zum Teil verstehen. Auch die Forderungen nach Rückkehr ins Büro finde ich richtig.
    Ein IMHO von Brandur Leach

  2. Huawei: Innenministerium wird keine US-Sanktionen überprüfen
    Huawei
    Innenministerium wird keine US-Sanktionen überprüfen

    Das Bundesinnenministerium kann weder US-Sanktionen gegen Huawei in Deutschland einfordern, noch interne Verträge der Telekom einsehen.

  3. Parkvision: Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer
    Parkvision
    Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer

    Wer auf einem kameraüberwachten Parkplatz eines Gelsenkirchener Supermarkts parkt, darf nur dort einkaufen. Wer zusätzlich woanders hingeht, zahlt Strafe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Ryzen 9 7900X3D 619€ • Crucial SSD 2TB (PS5) 158€ • Neu: Amazon Smart TVs ab 189€ • Nur bis 24.03.: 38GB Allnet-Flat 12,99€ • MindStar: Ryzen 9 5900X 319€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Spiel 569€ • LG OLED TV -57% [Werbung]
    •  /