• IT-Karriere:
  • Services:

DANE: Let's Encrypt kann E-Mail-Servern Probleme machen

Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.

Artikel veröffentlicht am ,
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen.
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen. (Bild: Pixabay)

Im Zuge des lang angekündigten Zertifikatswechsel bei der freien Zertifizierungsstelle Let's Encrypt hat das Team damit begonnen, ein neues Zwischenzertifikat zu nutzen. Das sollte eigentlich noch keine Probleme verursachen, da der große Bruch erst für kommendes Jahr geplant ist, worauf das Team selbst hinweist. Wie der Exim-Entwickler Phil Pennock nun aber schreibt, kann die Änderung unter bestimmten Umständen dennoch Probleme bei E-Mail-Servern verursachen.

Stellenmarkt
  1. Curalie GmbH, Berlin
  2. Sky Deutschland GmbH, Unterföhring bei München

In der Ankündigung heißt es: "Wenn Sie DANE zum Anpinnen Ihrer Zertifikate verwenden (...) und noch keine Unterstützung für die neuen Zwischenzertifikate hinzugefügt haben, haben Sie jetzt ein Problem: Sobald Ihre Systeme die Zertifikate erneuern, werden andere E-Mail-Systeme, die DANE verifizieren, Verbindungen zu Ihrem Mailserver ablehnen, da eine nicht autorisierte Zertifizierungsstelle verwendet wird".

Die Idee von Let's Encrypt und dem zugrundeliegenden ACME-Protokoll ist es, die Erneuerung der genutzten Zertifikate automatisiert durchzuführen. Geschieht dies wie in dem hier beschriebenen Fall, jedoch ohne die weiteren technischen Informationen darauf anzupassen, werden keine E-Mails mehr zugestellt.

Mit Hilfe von DANE können Domain-Inhaber und Serverbetreiber Zertifikate und etwa deren öffentliche Schlüssel in einem DNS-Resource-Record hinterlegen. So sollen sie selbst festlegen können, welchen Zertifikaten für die Verbindung vertraut wird und Clients können dies überprüfen. DANE baut dabei auf DNSSEC auf. In einem Kommentar vor fünf Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

DANE wird kaum genutzt

In der Praxis konnte sich DANE bisher bei den großen Mailhostern kaum durchsetzen. Zwar hat das Protokoll in Deutschland eine gewisse Verbreitung erlangt, so unterstützen etwa GMX, Web.de und kleinere Provider wie Posteo oder Mailbox.org das Protokoll. International ist DANE aber bedeutungslos und die Nutzung im Browser praktisch tot. Der Fehler im Zusammenhang mit dem Zertifikatswechsel sollte also nur vergleichsweise geringe Auswirkungen haben und betrifft vermutlich vor allem jene, die eigene E-Mail-Server betreiben und DANE verwenden.

Die aktuelle Warnung in Bezug auf die neuen Zwischenzertifikate von Exim zeigt jedoch erneut, dass die Ideen zum zusätzlichen Absichern von TLS-Zertifikaten einige praktische Probleme haben. Das Anpinnen des öffentlichen Schlüssels eines Zertifikats wurde als ähnliche Idee zu DANE in Browsern per HPKP verfolgt. Die Technik wurde nach wenigen Jahren aber wieder entfernt, da auch dies unter Umständen zur Nichterreichbarkeit von Webservern geführt hat - analog wie das nun beschriebene Problem für E-Mail-Server. Mittlerweile setzen die großen Betreiber von Mailservern auf den Standard MTA-STS, der die verschlüsselten Verbindungen zwischen ihnen absichern soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  2. 279,99€ (Bestpreis)
  3. 189,99€ (Bestpreis)

freebyte 05. Dez 2020 / Themenstart

Also bei Mail zeigt die Erfahrung, dass Verschlüsselung eigentlich für die Katz ist. Ich...

ikhaya 03. Dez 2020 / Themenstart

So würde ich das auch sagen.

Goonie 03. Dez 2020 / Themenstart

Das sehe ich nicht ganz so kritisch. Wenn ein Verfahren zu unsicher wird, wird...

damluk 03. Dez 2020 / Themenstart

RFC6698 section-2.1.1 Certificate usage 2

Kommentieren


Folgen Sie uns
       


Xbox Series S ausgepackt

Wir packen beide Konsolen aus und zeigen den Lieferumfang.

Xbox Series S ausgepackt Video aufrufen
    •  /