Abo
  • IT-Karriere:

DNSSEC-Chain: DANE für Browser ist praktisch tot

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Artikel veröffentlicht am ,
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE.
DNS-Verschlüsselung im Browser kommt wohl nicht per DANE. (Bild: darkday, flicker.com/CC-BY 2.0)

Der Entwurf für die DNSSEC-Chain-Extension für TLS ist offiziell abgelaufen, wie aus der Dokumentation der zuständigen Arbeitsgruppe Internet Engineering Task Force (IETF) hervor geht. Der Chief Scientist der APNIC, Geoff Huston, berichtet nun im Blog der Organisation, dass die Erweiterung außerdem offenbar vorerst nicht mehr weiterentwickelt wird und "verwaist" sei. Das sei auf einem Treffen der DNS-Betreiber und -Forscher (DNS-OARC) besprochen worden.

Stellenmarkt
  1. SCHOTT AG, Mitterteich
  2. Berliner Verkehrsbetriebe (BVG), Berlin

Die DNSSEC-Chain-Extension war ursprünglich dazu gedacht, die mit DANE und DNSSEC einhergehenden Sicherheits- und Vertrauensgewinne auch in Browsern abzubilden. Dazu wird es nun wohl aber nicht kommen. Bei DNSSEC werden DNS-Einträge signiert, was zu einer Authentifizierung der Antworten des DNS-Protokolls führt. Nutzer können so gewährleisten, dass die erhaltene IP-Adresse auch tatsächlich zur angefragten Domain gehört.

Das DANE-Protokoll (DNS-based Authentication of Name Entities) baut darauf auf und verfolgt die Idee, weitere Informationen über DNS-Antworten zu verteilen, wenn diese abgesichert und damit vertrauenswürdig sind. Das implizite Versprechen hierbei war, dem krankenden System der Zertifizierungsstellen für TLS etwas entgegenzusetzen. So könnten per DANE etwa die Fingerprints von Zertifikaten verteilt werden, denen dann vertraut werden kann. In einem Kommentar vor vier Jahren hat Golem.de die vielen Probleme mit DNSSEC und auch DANE etwas näher beschrieben und dabei auch Details der Protokolle erklärt.

Kein DANE im Browser

Ziel der DNSSEC-Chain-Extension war es, den beschriebenen Mechanismus von DANE in der TLS-Kommunikation abzubilden. TLS-Clients, allen voran Browser, sollten damit die DANE-Authentifizierung eines TLS-Servers durchführen können, ohne weitere DNS-Einträge abfragen zu müssen. So sollte auch die Validierung beschleunigt werden. Die Adresseinträge der TLS-Einträge selbst sollten darüber aber nicht validiert werden.

Vorangetrieben wurden die Arbeiten an der Erweiterung hauptsächlich von Browser-Hersteller Mozilla, der auch an einer Implementierung gearbeitet hat. Doch die Arbeiten daran sind nun offenbar eingestellt. Der Forscher Huston von der APNIC beschreibt das Ende so: "Das Ergebnis ist, dass DANE momentan für Browser praktisch tot ist".

Statt Daten für TLS per DNS zu verteilen und zu verifizieren, gibt es darüber hinaus inzwischen Protokolle, die den umgekehrten Weg gehen. Bei DNS-over-TLS (DoT) und auch DNS-over-HTTPS (DoH) werden die Anfragen und Antworten für DNS über eine bereits per TLS abgesicherte Verbindung übertragen. DoH wird ebenfalls von Mozilla unterstützt und vorangetrieben und kann etwa im Firefox genutzt werden. Auch die Entwickler von Googles Chrome-Browser experimentieren mit DoH. Zusätzlich dazu bieten die großen öffentlichen DNS-Server von Cloudflare, IBM und Google eine Namensauflösung per DoH an.



Anzeige
Spiele-Angebote
  1. (-25%) 44,99€
  2. 4,31€
  3. (u. a. FIFA 19, Battlefield V, Space Huilk Tactics, Rainbow Six Siege)

ikhaya 28. Mai 2019

https://indico.dns-oarc.net/event/31/contributions/707/attachments/682/1125/whither-dane...

Vanger 28. Mai 2019

DANE krankt seit jeher daran, dass es DNSSEC erfordert - und dessen Implementierung...

brainslayer 28. Mai 2019

Bind hat mit der Linux community nichts zu tun. Es kommt vom ISC

RipClaw 28. Mai 2019

Wenn du Null Vertrauen zu Mozilla hast wieso verwendest du dann Firefox ?


Folgen Sie uns
       


WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

    •  /