DANE: Let's Encrypt kann E-Mail-Servern Probleme machen

Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.

Artikel veröffentlicht am ,
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen.
Zertifikatswechsel können E-Mail-Server nicht mehr erreichbar machen. (Bild: Pixabay)

Im Zuge des lang angekündigten Zertifikatswechsel bei der freien Zertifizierungsstelle Let's Encrypt hat das Team damit begonnen, ein neues Zwischenzertifikat zu nutzen. Das sollte eigentlich noch keine Probleme verursachen, da der große Bruch erst für kommendes Jahr geplant ist, worauf das Team selbst hinweist. Wie der Exim-Entwickler Phil Pennock nun aber schreibt, kann die Änderung unter bestimmten Umständen dennoch Probleme bei E-Mail-Servern verursachen.

Stellenmarkt
  1. Inhouse Berater (m/w/d) ERP / Prozessmanagement
    Goldbeck GmbH, Bielefeld, Hamm, Leipzig, Plauen
  2. Fullstack Entwickler (m/w/d)
    Pfalzwerke Aktiengesellschaft, Ludwigshafen
Detailsuche

In der Ankündigung heißt es: "Wenn Sie DANE zum Anpinnen Ihrer Zertifikate verwenden (...) und noch keine Unterstützung für die neuen Zwischenzertifikate hinzugefügt haben, haben Sie jetzt ein Problem: Sobald Ihre Systeme die Zertifikate erneuern, werden andere E-Mail-Systeme, die DANE verifizieren, Verbindungen zu Ihrem Mailserver ablehnen, da eine nicht autorisierte Zertifizierungsstelle verwendet wird".

Die Idee von Let's Encrypt und dem zugrundeliegenden ACME-Protokoll ist es, die Erneuerung der genutzten Zertifikate automatisiert durchzuführen. Geschieht dies wie in dem hier beschriebenen Fall, jedoch ohne die weiteren technischen Informationen darauf anzupassen, werden keine E-Mails mehr zugestellt.

Mit Hilfe von DANE können Domain-Inhaber und Serverbetreiber Zertifikate und etwa deren öffentliche Schlüssel in einem DNS-Resource-Record hinterlegen. So sollen sie selbst festlegen können, welchen Zertifikaten für die Verbindung vertraut wird und Clients können dies überprüfen. DANE baut dabei auf DNSSEC auf. In einem Kommentar vor fünf Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

DANE wird kaum genutzt

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    27./28.06.2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    02./03.06.2022, virtuell
Weitere IT-Trainings

In der Praxis konnte sich DANE bisher bei den großen Mailhostern kaum durchsetzen. Zwar hat das Protokoll in Deutschland eine gewisse Verbreitung erlangt, so unterstützen etwa GMX, Web.de und kleinere Provider wie Posteo oder Mailbox.org das Protokoll. International ist DANE aber bedeutungslos und die Nutzung im Browser praktisch tot. Der Fehler im Zusammenhang mit dem Zertifikatswechsel sollte also nur vergleichsweise geringe Auswirkungen haben und betrifft vermutlich vor allem jene, die eigene E-Mail-Server betreiben und DANE verwenden.

Die aktuelle Warnung in Bezug auf die neuen Zwischenzertifikate von Exim zeigt jedoch erneut, dass die Ideen zum zusätzlichen Absichern von TLS-Zertifikaten einige praktische Probleme haben. Das Anpinnen des öffentlichen Schlüssels eines Zertifikats wurde als ähnliche Idee zu DANE in Browsern per HPKP verfolgt. Die Technik wurde nach wenigen Jahren aber wieder entfernt, da auch dies unter Umständen zur Nichterreichbarkeit von Webservern geführt hat - analog wie das nun beschriebene Problem für E-Mail-Server. Mittlerweile setzen die großen Betreiber von Mailservern auf den Standard MTA-STS, der die verschlüsselten Verbindungen zwischen ihnen absichern soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


freebyte 05. Dez 2020

Also bei Mail zeigt die Erfahrung, dass Verschlüsselung eigentlich für die Katz ist. Ich...

ikhaya 03. Dez 2020

So würde ich das auch sagen.

Goonie 03. Dez 2020

Das sehe ich nicht ganz so kritisch. Wenn ein Verfahren zu unsicher wird, wird...

damluk 03. Dez 2020

RFC6698 section-2.1.1 Certificate usage 2



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  2. Bluetooth-Tracker: Airtag-Firmware lässt sich komplett austauschen
    Bluetooth-Tracker
    Airtag-Firmware lässt sich komplett austauschen

    Die Apple Airtags lassen sich nicht nur klonen. Forscher können auch beliebige Sounds auf dem Bluetooth-Tracker abspielen.

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /