DNSSEC-Chain: DANE für Browser ist praktisch tot

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Artikel veröffentlicht am ,
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE.
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE. (Bild: darkday, flicker.com/CC-BY 2.0)

Der Entwurf für die DNSSEC-Chain-Extension für TLS ist offiziell abgelaufen, wie aus der Dokumentation der zuständigen Arbeitsgruppe Internet Engineering Task Force (IETF) hervor geht. Der Chief Scientist der APNIC, Geoff Huston, berichtet nun im Blog der Organisation, dass die Erweiterung außerdem offenbar vorerst nicht mehr weiterentwickelt wird und "verwaist" sei. Das sei auf einem Treffen der DNS-Betreiber und -Forscher (DNS-OARC) besprochen worden.

Stellenmarkt
  1. Product Owner (m/w/d) Website & Digital Business
    Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund
  2. Kundenbetreuer (m/w/d) für Schulung und Support des Vergabemanagers
    Staatsanzeiger für Baden-Württemberg GmbH & Co. KG, Stuttgart
Detailsuche

Die DNSSEC-Chain-Extension war ursprünglich dazu gedacht, die mit DANE und DNSSEC einhergehenden Sicherheits- und Vertrauensgewinne auch in Browsern abzubilden. Dazu wird es nun wohl aber nicht kommen. Bei DNSSEC werden DNS-Einträge signiert, was zu einer Authentifizierung der Antworten des DNS-Protokolls führt. Nutzer können so gewährleisten, dass die erhaltene IP-Adresse auch tatsächlich zur angefragten Domain gehört.

Das DANE-Protokoll (DNS-based Authentication of Name Entities) baut darauf auf und verfolgt die Idee, weitere Informationen über DNS-Antworten zu verteilen, wenn diese abgesichert und damit vertrauenswürdig sind. Das implizite Versprechen hierbei war, dem krankenden System der Zertifizierungsstellen für TLS etwas entgegenzusetzen. So könnten per DANE etwa die Fingerprints von Zertifikaten verteilt werden, denen dann vertraut werden kann. In einem Kommentar vor vier Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

Kein DANE im Browser

Ziel der DNSSEC-Chain-Extension war es, den beschriebenen Mechanismus von DANE in der TLS-Kommunikation abzubilden. TLS-Clients, allen voran Browser, sollten damit die DANE-Authentifizierung eines TLS-Servers durchführen können, ohne weitere DNS-Einträge abfragen zu müssen. So sollte auch die Validierung beschleunigt werden. Die Adresseinträge der TLS-Einträge selbst sollten darüber aber nicht validiert werden.

Golem Karrierewelt
  1. Green IT: Praxisratgeber zur nachhaltigen IT-Nutzung (virtueller Ein-Tages-Workshop)
    26.10.2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    07.-09.11.2022, Virtuell
Weitere IT-Trainings

Vorangetrieben wurden die Arbeiten an der Erweiterung hauptsächlich von Browser-Hersteller Mozilla, der auch an einer Implementierung gearbeitet hat. Doch die Arbeiten daran sind nun offenbar eingestellt. Der Forscher Huston von der APNIC beschreibt das Ende so: "Das Ergebnis ist, dass DANE momentan für Browser praktisch tot ist".

Statt Daten für TLS per DNS zu verteilen und zu verifizieren, gibt es darüber hinaus inzwischen Protokolle, die den umgekehrten Weg gehen. Bei DNS-over-TLS (DoT) und auch DNS-over-HTTPS (DoH) werden die Anfragen und Antworten für DNS über eine bereits per TLS abgesicherte Verbindung übertragen. DoH wird ebenfalls von Mozilla unterstützt und vorangetrieben und kann etwa im Firefox genutzt werden. Auch die Entwickler von Googles Chrome-Browser experimentieren mit DoH. Zusätzlich dazu bieten die großen öffentlichen DNS-Server von Cloudflare, IBM und Google eine Namensauflösung per DoH an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ikhaya 28. Mai 2019

https://indico.dns-oarc.net/event/31/contributions/707/attachments/682/1125/whither-dane...

Vanger 28. Mai 2019

DANE krankt seit jeher daran, dass es DNSSEC erfordert - und dessen Implementierung...

brainslayer 28. Mai 2019

Bind hat mit der Linux community nichts zu tun. Es kommt vom ISC

RipClaw 28. Mai 2019

Wenn du Null Vertrauen zu Mozilla hast wieso verwendest du dann Firefox ?



Aktuell auf der Startseite von Golem.de
Die große Umfrage
Das sind Deutschlands beste IT-Arbeitgeber 2023

Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
Artikel
  1. Roadmap: CD Projekt kündigt neues Cyberpunk und mehrere Witcher an
    Roadmap
    CD Projekt kündigt neues Cyberpunk und mehrere Witcher an

    Project Polaris wird eine Witcher-Saga, Orion das nächste Cyberpunk 2077 und Hadar etwas ganz Neues: CD Projekt hat seine Pläne vorgestellt.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Elektromobilität: Sixt bestellt 100.000 Elektroautos bei BYD
    Elektromobilität
    Sixt bestellt 100.000 Elektroautos bei BYD

    Der Autovermieter Sixt macht Ernst mit der Umstellung seiner Flotte auf Elektroautos.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /