• IT-Karriere:
  • Services:

IETF: DNS wird sicher, aber erst später

Künftig soll DNS so weit wie möglich verschlüsselt erfolgen, wofür neue Transportwege genutzt werden sollen. Das kommt allerdings eher schleppend voran, wie sich beim Treffen der IETF zeigt.

Artikel veröffentlicht am ,
DNS wird zum übersetzen von Domains in IP-Adressen genutzt.
DNS wird zum übersetzen von Domains in IP-Adressen genutzt. (Bild: Martin Wolf/Golem.de)

Die Arbeiten am Domain-Name-System (DNS) sind fast so alt wie das Internet selbst, und DNS hat aus heutiger Sicht vor allem einen großen Nachteil: Es wird standardmäßig unverschlüsselt übertragen. Um das zu ändern, gibt es bei der IETF die Arbeitsgruppe DNS Private Exchange (Dprive) und auch völlig neue Ideen, wie etwa, DNS-Informationen nativ über das verschlüsselte HTTP/2 zu übertragen. Mit ihrem bisher größten Erfolg haben die Beteiligten von Dprive aber noch Probleme.

Stellenmarkt
  1. über duerenhoff GmbH, Stuttgart
  2. Dr. August Oetker Nahrungsmittel KG, Bielefeld

Zwar hat es das Team vor rund einem Jahr geschafft, einen Internet-Standard zu veröffentlichen, der die Verwendung von DNS über das verschlüsselte TLS-Protokoll beschreibt. Bei der Diskussion der Dprive-Arbeitsgruppe auf dem IETF Meeting 99, das derzeit in Prag stattfindet, zeigt sich aber, dass DNS über TLS kaum verwendet wird.

Die Gruppe muss zudem schlicht feststellen, dass für eine Evaluierung auch noch zu wenig aussagekräftige Daten vorliegen. Ob die Arbeit an dem Standard also tatsächlich erfolgreich war, muss sich noch zeigen. Außerdem weist Daniel Kahn Gillmor, der sich für die US-Bürgerrechtsorganisation ACLU in den Standardisierungsgremien und Arbeitsgruppen der IETF engagiert, darauf hin, dass Angreifer auf die Netzwerkverbindung den Port für DNS über TLS auch einfach blockieren können.

Mehr verschlüsseltes DNS

Der Vorteil von DNS über TLS gehe damit schlicht verloren. Um zu verdeutlichen, warum es deshalb weitere Arbeiten von Dprive an alternativen Methoden geben sollte, stellt Gillmor einen "üblen Hack" vor, mit dem DNS per Muxing auch über HTTPS auf Grundlage des alten HTTP/1 übertragen werden kann. Der Vorschlag sei sogar so einfach, dass Gillmor ihn selbst umgesetzt hat und die Technik als Paket für die Linux-Distribution Debian bereitstellt.

Gillmor betont aber auch selbst, dass seine Idee so schlecht sei, dass diese nur zur Demonstration dienen sollte und er seinen Vorschlag nicht zur Standardisierung einreichen wird. Deshalb solle an weiteren sicheren Übertragungswegen für DNS gearbeitet werden.

Zur Verfügung stehen dafür der erwähnte Vorschlag für DNS über HTTP/2 sowie DNS über das kommenden Quic, das ebenfalls standardmäßig eine verschlüsselte Verbindung liefert. Der erste Vorschlag wird, wenn er überhaupt umgesetzt wird, aber noch einige Zeit bis zur Standardisierung benötigen. Der zweite hängt von der Standardisierung von Quic selbst ab. Diese läuft zwar offiziell bereits seit einem Jahr, ist aber noch lange nicht abgeschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)
  2. 4,25€
  3. 71,49€

ikhaya 21. Jul 2017

443 allein reicht nicht, du bräuchtest dennoch eine Vermischung mit einer echten...


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /