DANE: Let's Encrypt kann E-Mail-Servern Probleme machen

Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.

Artikel veröffentlicht am ,
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen.
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen. (Bild: Pixabay)

Im Zuge des lang angekündigten Zertifikatswechsel bei der freien Zertifizierungsstelle Let's Encrypt hat das Team damit begonnen, ein neues Zwischenzertifikat zu nutzen. Das sollte eigentlich noch keine Probleme verursachen, da der große Bruch erst für kommendes Jahr geplant ist, worauf das Team selbst hinweist. Wie der Exim-Entwickler Phil Pennock nun aber schreibt, kann die Änderung unter bestimmten Umständen dennoch Probleme bei E-Mail-Servern verursachen.

Stellenmarkt
  1. Applikationsmanager (w/m/d) mit Schwerpunkt SAP|PM und CS
    Stadtwerke Karlsruhe GmbH, Karlsruhe
  2. Lead Developer (m/w/d) "Meine Allianz" - App Team
    Allianz Deutschland AG, Stuttgart
Detailsuche

In der Ankündigung heißt es: "Wenn Sie DANE zum Anpinnen Ihrer Zertifikate verwenden (...) und noch keine Unterstützung für die neuen Zwischenzertifikate hinzugefügt haben, haben Sie jetzt ein Problem: Sobald Ihre Systeme die Zertifikate erneuern, werden andere E-Mail-Systeme, die DANE verifizieren, Verbindungen zu Ihrem Mailserver ablehnen, da eine nicht autorisierte Zertifizierungsstelle verwendet wird".

Die Idee von Let's Encrypt und dem zugrundeliegenden ACME-Protokoll ist es, die Erneuerung der genutzten Zertifikate automatisiert durchzuführen. Geschieht dies wie in dem hier beschriebenen Fall, jedoch ohne die weiteren technischen Informationen darauf anzupassen, werden keine E-Mails mehr zugestellt.

Mit Hilfe von DANE können Domain-Inhaber und Serverbetreiber Zertifikate und etwa deren öffentliche Schlüssel in einem DNS-Resource-Record hinterlegen. So sollen sie selbst festlegen können, welchen Zertifikaten für die Verbindung vertraut wird und Clients können dies überprüfen. DANE baut dabei auf DNSSEC auf. In einem Kommentar vor fünf Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

DANE wird kaum genutzt

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

In der Praxis konnte sich DANE bisher bei den großen Mailhostern kaum durchsetzen. Zwar hat das Protokoll in Deutschland eine gewisse Verbreitung erlangt, so unterstützen etwa GMX, Web.de und kleinere Provider wie Posteo oder Mailbox.org das Protokoll. International ist DANE aber bedeutungslos und die Nutzung im Browser praktisch tot. Der Fehler im Zusammenhang mit dem Zertifikatswechsel sollte also nur vergleichsweise geringe Auswirkungen haben und betrifft vermutlich vor allem jene, die eigene E-Mail-Server betreiben und DANE verwenden.

Die aktuelle Warnung in Bezug auf die neuen Zwischenzertifikate von Exim zeigt jedoch erneut, dass die Ideen zum zusätzlichen Absichern von TLS-Zertifikaten einige praktische Probleme haben. Das Anpinnen des öffentlichen Schlüssels eines Zertifikats wurde als ähnliche Idee zu DANE in Browsern per HPKP verfolgt. Die Technik wurde nach wenigen Jahren aber wieder entfernt, da auch dies unter Umständen zur Nichterreichbarkeit von Webservern geführt hat - analog wie das nun beschriebene Problem für E-Mail-Server. Mittlerweile setzen die großen Betreiber von Mailservern auf den Standard MTA-STS, der die verschlüsselten Verbindungen zwischen ihnen absichern soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Viele Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  2. Fernseher zum Bestpreis beim Amazon Prime Day
     
    Fernseher zum Bestpreis beim Amazon Prime Day

    Neben vielen anderen interessanten Produkten gibt es viele hochqualitative Fernseher zu niedrigen Preisen.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Ärger um Drachenlord: Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber
    Ärger um Drachenlord
    Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

freebyte 05. Dez 2020

Also bei Mail zeigt die Erfahrung, dass Verschlüsselung eigentlich für die Katz ist. Ich...

ikhaya 03. Dez 2020

So würde ich das auch sagen.

Goonie 03. Dez 2020

Das sehe ich nicht ganz so kritisch. Wenn ein Verfahren zu unsicher wird, wird...

damluk 03. Dez 2020

RFC6698 section-2.1.1 Certificate usage 2


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • MM Gönn dir Dienstag [Werbung]
    •  /