DANE: Let's Encrypt kann E-Mail-Servern Probleme machen
Im Zuge des lang angekündigten Zertifikatswechsel bei der freien Zertifizierungsstelle Let's Encrypt hat das Team damit begonnen, ein neues Zwischenzertifikat zu nutzen(öffnet im neuen Fenster) . Das sollte eigentlich noch keine Probleme verursachen, da der große Bruch erst für kommendes Jahr geplant ist, worauf das Team selbst hinweist. Wie der Exim-Entwickler Phil Pennock nun aber schreibt(öffnet im neuen Fenster) , kann die Änderung unter bestimmten Umständen dennoch Probleme bei E-Mail-Servern verursachen.
In der Ankündigung heißt es: "Wenn Sie DANE zum Anpinnen Ihrer Zertifikate verwenden (...) und noch keine Unterstützung für die neuen Zwischenzertifikate hinzugefügt haben, haben Sie jetzt ein Problem: Sobald Ihre Systeme die Zertifikate erneuern, werden andere E-Mail-Systeme, die DANE verifizieren, Verbindungen zu Ihrem Mailserver ablehnen, da eine nicht autorisierte Zertifizierungsstelle verwendet wird" .
Die Idee von Let's Encrypt und dem zugrundeliegenden ACME-Protokoll ist es, die Erneuerung der genutzten Zertifikate automatisiert durchzuführen. Geschieht dies wie in dem hier beschriebenen Fall, jedoch ohne die weiteren technischen Informationen darauf anzupassen, werden keine E-Mails mehr zugestellt.
Mit Hilfe von DANE können Domain-Inhaber und Serverbetreiber Zertifikate und etwa deren öffentliche Schlüssel in einem DNS-Resource-Record hinterlegen. So sollen sie selbst festlegen können, welchen Zertifikaten für die Verbindung vertraut wird und Clients können dies überprüfen. DANE baut dabei auf DNSSEC auf. In einem Kommentar vor fünf Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.
DANE wird kaum genutzt
In der Praxis konnte sich DANE bisher bei den großen Mailhostern kaum durchsetzen. Zwar hat das Protokoll in Deutschland eine gewisse Verbreitung erlangt, so unterstützen etwa GMX, Web.de und kleinere Provider wie Posteo oder Mailbox.org das Protokoll. International ist DANE aber bedeutungslos und die Nutzung im Browser praktisch tot . Der Fehler im Zusammenhang mit dem Zertifikatswechsel sollte also nur vergleichsweise geringe Auswirkungen haben und betrifft vermutlich vor allem jene, die eigene E-Mail-Server betreiben und DANE verwenden.
Die aktuelle Warnung in Bezug auf die neuen Zwischenzertifikate von Exim zeigt jedoch erneut, dass die Ideen zum zusätzlichen Absichern von TLS-Zertifikaten einige praktische Probleme haben. Das Anpinnen des öffentlichen Schlüssels eines Zertifikats wurde als ähnliche Idee zu DANE in Browsern per HPKP verfolgt. Die Technik wurde nach wenigen Jahren aber wieder entfernt , da auch dies unter Umständen zur Nichterreichbarkeit von Webservern geführt hat – analog wie das nun beschriebene Problem für E-Mail-Server. Mittlerweile setzen die großen Betreiber von Mailservern auf den Standard MTA-STS , der die verschlüsselten Verbindungen zwischen ihnen absichern soll.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.