• IT-Karriere:
  • Services:

DNSSEC-Chain: DANE für Browser ist praktisch tot

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Artikel veröffentlicht am ,
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE.
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE. (Bild: darkday, flicker.com/CC-BY 2.0)

Der Entwurf für die DNSSEC-Chain-Extension für TLS ist offiziell abgelaufen, wie aus der Dokumentation der zuständigen Arbeitsgruppe Internet Engineering Task Force (IETF) hervor geht. Der Chief Scientist der APNIC, Geoff Huston, berichtet nun im Blog der Organisation, dass die Erweiterung außerdem offenbar vorerst nicht mehr weiterentwickelt wird und "verwaist" sei. Das sei auf einem Treffen der DNS-Betreiber und -Forscher (DNS-OARC) besprochen worden.

Stellenmarkt
  1. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin
  2. Rödl Global Digital Services GmbH, Nürnberg

Die DNSSEC-Chain-Extension war ursprünglich dazu gedacht, die mit DANE und DNSSEC einhergehenden Sicherheits- und Vertrauensgewinne auch in Browsern abzubilden. Dazu wird es nun wohl aber nicht kommen. Bei DNSSEC werden DNS-Einträge signiert, was zu einer Authentifizierung der Antworten des DNS-Protokolls führt. Nutzer können so gewährleisten, dass die erhaltene IP-Adresse auch tatsächlich zur angefragten Domain gehört.

Das DANE-Protokoll (DNS-based Authentication of Name Entities) baut darauf auf und verfolgt die Idee, weitere Informationen über DNS-Antworten zu verteilen, wenn diese abgesichert und damit vertrauenswürdig sind. Das implizite Versprechen hierbei war, dem krankenden System der Zertifizierungsstellen für TLS etwas entgegenzusetzen. So könnten per DANE etwa die Fingerprints von Zertifikaten verteilt werden, denen dann vertraut werden kann. In einem Kommentar vor vier Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

Kein DANE im Browser

Ziel der DNSSEC-Chain-Extension war es, den beschriebenen Mechanismus von DANE in der TLS-Kommunikation abzubilden. TLS-Clients, allen voran Browser, sollten damit die DANE-Authentifizierung eines TLS-Servers durchführen können, ohne weitere DNS-Einträge abfragen zu müssen. So sollte auch die Validierung beschleunigt werden. Die Adresseinträge der TLS-Einträge selbst sollten darüber aber nicht validiert werden.

Vorangetrieben wurden die Arbeiten an der Erweiterung hauptsächlich von Browser-Hersteller Mozilla, der auch an einer Implementierung gearbeitet hat. Doch die Arbeiten daran sind nun offenbar eingestellt. Der Forscher Huston von der APNIC beschreibt das Ende so: "Das Ergebnis ist, dass DANE momentan für Browser praktisch tot ist".

Statt Daten für TLS per DNS zu verteilen und zu verifizieren, gibt es darüber hinaus inzwischen Protokolle, die den umgekehrten Weg gehen. Bei DNS-over-TLS (DoT) und auch DNS-over-HTTPS (DoH) werden die Anfragen und Antworten für DNS über eine bereits per TLS abgesicherte Verbindung übertragen. DoH wird ebenfalls von Mozilla unterstützt und vorangetrieben und kann etwa im Firefox genutzt werden. Auch die Entwickler von Googles Chrome-Browser experimentieren mit DoH. Zusätzlich dazu bieten die großen öffentlichen DNS-Server von Cloudflare, IBM und Google eine Namensauflösung per DoH an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Overcooked! 2 für 11,50€, The Survivalists für 18,74€, Worms Armageddon für 7,50€)
  2. 33,99€
  3. 20,49€

ikhaya 28. Mai 2019

https://indico.dns-oarc.net/event/31/contributions/707/attachments/682/1125/whither-dane...

Vanger 28. Mai 2019

DANE krankt seit jeher daran, dass es DNSSEC erfordert - und dessen Implementierung...

brainslayer 28. Mai 2019

Bind hat mit der Linux community nichts zu tun. Es kommt vom ISC

RipClaw 28. Mai 2019

Wenn du Null Vertrauen zu Mozilla hast wieso verwendest du dann Firefox ?


Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
    •  /