Abo
  • IT-Karriere:

DNSSEC-Chain: DANE für Browser ist praktisch tot

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Artikel veröffentlicht am ,
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE.
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE. (Bild: darkday, flicker.com/CC-BY 2.0)

Der Entwurf für die DNSSEC-Chain-Extension für TLS ist offiziell abgelaufen, wie aus der Dokumentation der zuständigen Arbeitsgruppe Internet Engineering Task Force (IETF) hervor geht. Der Chief Scientist der APNIC, Geoff Huston, berichtet nun im Blog der Organisation, dass die Erweiterung außerdem offenbar vorerst nicht mehr weiterentwickelt wird und "verwaist" sei. Das sei auf einem Treffen der DNS-Betreiber und -Forscher (DNS-OARC) besprochen worden.

Stellenmarkt
  1. operational services GmbH & Co. KG, Nürnberg, Dresden, Berlin, Frankfurt am Main, München, Braunschweig, Wolfsburg, Zwickau
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal

Die DNSSEC-Chain-Extension war ursprünglich dazu gedacht, die mit DANE und DNSSEC einhergehenden Sicherheits- und Vertrauensgewinne auch in Browsern abzubilden. Dazu wird es nun wohl aber nicht kommen. Bei DNSSEC werden DNS-Einträge signiert, was zu einer Authentifizierung der Antworten des DNS-Protokolls führt. Nutzer können so gewährleisten, dass die erhaltene IP-Adresse auch tatsächlich zur angefragten Domain gehört.

Das DANE-Protokoll (DNS-based Authentication of Name Entities) baut darauf auf und verfolgt die Idee, weitere Informationen über DNS-Antworten zu verteilen, wenn diese abgesichert und damit vertrauenswürdig sind. Das implizite Versprechen hierbei war, dem krankenden System der Zertifizierungsstellen für TLS etwas entgegenzusetzen. So könnten per DANE etwa die Fingerprints von Zertifikaten verteilt werden, denen dann vertraut werden kann. In einem Kommentar vor vier Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

Kein DANE im Browser

Ziel der DNSSEC-Chain-Extension war es, den beschriebenen Mechanismus von DANE in der TLS-Kommunikation abzubilden. TLS-Clients, allen voran Browser, sollten damit die DANE-Authentifizierung eines TLS-Servers durchführen können, ohne weitere DNS-Einträge abfragen zu müssen. So sollte auch die Validierung beschleunigt werden. Die Adresseinträge der TLS-Einträge selbst sollten darüber aber nicht validiert werden.

Vorangetrieben wurden die Arbeiten an der Erweiterung hauptsächlich von Browser-Hersteller Mozilla, der auch an einer Implementierung gearbeitet hat. Doch die Arbeiten daran sind nun offenbar eingestellt. Der Forscher Huston von der APNIC beschreibt das Ende so: "Das Ergebnis ist, dass DANE momentan für Browser praktisch tot ist".

Statt Daten für TLS per DNS zu verteilen und zu verifizieren, gibt es darüber hinaus inzwischen Protokolle, die den umgekehrten Weg gehen. Bei DNS-over-TLS (DoT) und auch DNS-over-HTTPS (DoH) werden die Anfragen und Antworten für DNS über eine bereits per TLS abgesicherte Verbindung übertragen. DoH wird ebenfalls von Mozilla unterstützt und vorangetrieben und kann etwa im Firefox genutzt werden. Auch die Entwickler von Googles Chrome-Browser experimentieren mit DoH. Zusätzlich dazu bieten die großen öffentlichen DNS-Server von Cloudflare, IBM und Google eine Namensauflösung per DoH an.



Anzeige
Top-Angebote
  1. 499€
  2. 499€
  3. 189€
  4. 119€

ikhaya 28. Mai 2019

https://indico.dns-oarc.net/event/31/contributions/707/attachments/682/1125/whither-dane...

Vanger 28. Mai 2019

DANE krankt seit jeher daran, dass es DNSSEC erfordert - und dessen Implementierung...

brainslayer 28. Mai 2019

Bind hat mit der Linux community nichts zu tun. Es kommt vom ISC

RipClaw 28. Mai 2019

Wenn du Null Vertrauen zu Mozilla hast wieso verwendest du dann Firefox ?


Folgen Sie uns
       


Lenovo Ideapad S540 - Hands on (Ifa 2019)

Das Ideapad S540 hat ein fast unsichtbares Touchpad, das einige Schwierigkeiten bereitet. Doch ist das Gerät trotzdem ein gutes Ryzen-Notebook? Golem.de schaut es sich an.

Lenovo Ideapad S540 - Hands on (Ifa 2019) Video aufrufen
Facebook Horizon ausprobiert: Social-VR soll kommen, um zu bleiben
Facebook Horizon ausprobiert
Social-VR soll kommen, um zu bleiben

Mit Horizon entwickelt Facebook eine virtuelle Welt, um Menschen per VR-Headset zusammenzubringen. Wir haben Kevin vermöbelt, mit Big Alligator eine Palme gepflanzt und Luftkämpfe um bunte Fahnen ausgetragen.
Von Marc Sauter

  1. VR-Rundschau Mit Vader auf die dunkle Seite des Headsets
  2. Virtual Reality HTC Vive Cosmos bietet 1.440 x 1.700 Pixel pro Auge
  3. Anzeige Osrams LEDs und Sensoren machen die virtuelle Welt realer

Teamviewer: Ein schwäbisches Digitalwunder
Teamviewer
Ein schwäbisches Digitalwunder

Team wer? Eine schwäbische Softwarefirma hilft weltweit, per Fernzugriff Computer zu reparieren. Nun geht Teamviewer an die Börse - mit einer Milliardenbewertung.
Ein Bericht von Lisa Hegemann

  1. Fernwartungssoftware Permiras Teamviewer erhofft sich 5 Milliarden Euro Bewertung

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

    •  /