• IT-Karriere:
  • Services:

DNSSEC-Chain: DANE für Browser ist praktisch tot

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Artikel veröffentlicht am ,
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE.
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE. (Bild: darkday, flicker.com/CC-BY 2.0)

Der Entwurf für die DNSSEC-Chain-Extension für TLS ist offiziell abgelaufen, wie aus der Dokumentation der zuständigen Arbeitsgruppe Internet Engineering Task Force (IETF) hervor geht. Der Chief Scientist der APNIC, Geoff Huston, berichtet nun im Blog der Organisation, dass die Erweiterung außerdem offenbar vorerst nicht mehr weiterentwickelt wird und "verwaist" sei. Das sei auf einem Treffen der DNS-Betreiber und -Forscher (DNS-OARC) besprochen worden.

Stellenmarkt
  1. Verkehrsbetriebe Karlsruhe GmbH, Karlsruhe
  2. ivv GmbH, Hannover

Die DNSSEC-Chain-Extension war ursprünglich dazu gedacht, die mit DANE und DNSSEC einhergehenden Sicherheits- und Vertrauensgewinne auch in Browsern abzubilden. Dazu wird es nun wohl aber nicht kommen. Bei DNSSEC werden DNS-Einträge signiert, was zu einer Authentifizierung der Antworten des DNS-Protokolls führt. Nutzer können so gewährleisten, dass die erhaltene IP-Adresse auch tatsächlich zur angefragten Domain gehört.

Das DANE-Protokoll (DNS-based Authentication of Name Entities) baut darauf auf und verfolgt die Idee, weitere Informationen über DNS-Antworten zu verteilen, wenn diese abgesichert und damit vertrauenswürdig sind. Das implizite Versprechen hierbei war, dem krankenden System der Zertifizierungsstellen für TLS etwas entgegenzusetzen. So könnten per DANE etwa die Fingerprints von Zertifikaten verteilt werden, denen dann vertraut werden kann. In einem Kommentar vor vier Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

Kein DANE im Browser

Ziel der DNSSEC-Chain-Extension war es, den beschriebenen Mechanismus von DANE in der TLS-Kommunikation abzubilden. TLS-Clients, allen voran Browser, sollten damit die DANE-Authentifizierung eines TLS-Servers durchführen können, ohne weitere DNS-Einträge abfragen zu müssen. So sollte auch die Validierung beschleunigt werden. Die Adresseinträge der TLS-Einträge selbst sollten darüber aber nicht validiert werden.

Vorangetrieben wurden die Arbeiten an der Erweiterung hauptsächlich von Browser-Hersteller Mozilla, der auch an einer Implementierung gearbeitet hat. Doch die Arbeiten daran sind nun offenbar eingestellt. Der Forscher Huston von der APNIC beschreibt das Ende so: "Das Ergebnis ist, dass DANE momentan für Browser praktisch tot ist".

Statt Daten für TLS per DNS zu verteilen und zu verifizieren, gibt es darüber hinaus inzwischen Protokolle, die den umgekehrten Weg gehen. Bei DNS-over-TLS (DoT) und auch DNS-over-HTTPS (DoH) werden die Anfragen und Antworten für DNS über eine bereits per TLS abgesicherte Verbindung übertragen. DoH wird ebenfalls von Mozilla unterstützt und vorangetrieben und kann etwa im Firefox genutzt werden. Auch die Entwickler von Googles Chrome-Browser experimentieren mit DoH. Zusätzlich dazu bieten die großen öffentlichen DNS-Server von Cloudflare, IBM und Google eine Namensauflösung per DoH an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-73%) 15,99€
  2. 15,49€
  3. (-70%) 17,99€
  4. 4,19€

ikhaya 28. Mai 2019

https://indico.dns-oarc.net/event/31/contributions/707/attachments/682/1125/whither-dane...

Vanger 28. Mai 2019

DANE krankt seit jeher daran, dass es DNSSEC erfordert - und dessen Implementierung...

brainslayer 28. Mai 2019

Bind hat mit der Linux community nichts zu tun. Es kommt vom ISC

RipClaw 28. Mai 2019

Wenn du Null Vertrauen zu Mozilla hast wieso verwendest du dann Firefox ?


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
Star Wars The Clone Wars: Das beste Star Wars seit der Ur-Trilogie
Star Wars The Clone Wars
Das beste Star Wars seit der Ur-Trilogie

Die Animationsserie Star Wars: The Clone Wars schafft es, selbst größte Prequel-Hasser zu berühren - mit tollen neuen Charakteren.
Eine Rezension von Oliver Nickel

  1. Star Wars Darth Vader und mehr Machtspiele
  2. Star Wars Taika Waititi für nächsten Star-Wars-Film verantwortlich
  3. Star Wars Disney erntet veritablen Shitstorm mit Star-Wars-Hashtag

Space Force: Die Realität ist witziger als die Fiktion
Space Force
Die Realität ist witziger als die Fiktion

Über Trumps United States Space Force ist schon viel gelacht worden. Steve Carrell hat daraus eine Serie gemacht. Die ist allerdings nicht ganz so lustig geworden.
Von Peter Osteried

  1. Videostreaming Netflix deaktiviert lange nicht genutzte Abos
  2. Corona und Videostreaming Netflix beendet Drosselung der Bitrate, Amazon nicht
  3. Streaming Netflix-Comedyserie zeigt die Anfänge der US Space Force

LG Gram 14Z90N im Test: Die Feder ist mächtiger als das Schwert
LG Gram 14Z90N im Test
Die Feder ist mächtiger als das Schwert

Das Gram 14 ist das Deutschlanddebüt von LG. Es wiegt knapp 1 kg und kann durch lange Akkulaufzeit statt roher Leistung punkten.
Ein Test von Oliver Nickel

  1. HP Probook 445/455 G7 Business-Notebooks mit Renoir leuchten effizient hell

    •  /