• IT-Karriere:
  • Services:

IETF: DNS wird sicher, aber erst später

Künftig soll DNS so weit wie möglich verschlüsselt erfolgen, wofür neue Transportwege genutzt werden sollen. Das kommt allerdings eher schleppend voran, wie sich beim Treffen der IETF zeigt.

Artikel veröffentlicht am ,
DNS wird zum übersetzen von Domains in IP-Adressen genutzt.
DNS wird zum übersetzen von Domains in IP-Adressen genutzt. (Bild: Martin Wolf/Golem.de)

Die Arbeiten am Domain-Name-System (DNS) sind fast so alt wie das Internet selbst, und DNS hat aus heutiger Sicht vor allem einen großen Nachteil: Es wird standardmäßig unverschlüsselt übertragen. Um das zu ändern, gibt es bei der IETF die Arbeitsgruppe DNS Private Exchange (Dprive) und auch völlig neue Ideen, wie etwa, DNS-Informationen nativ über das verschlüsselte HTTP/2 zu übertragen. Mit ihrem bisher größten Erfolg haben die Beteiligten von Dprive aber noch Probleme.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Lemgo
  2. GCP - Grand City Property, Berlin

Zwar hat es das Team vor rund einem Jahr geschafft, einen Internet-Standard zu veröffentlichen, der die Verwendung von DNS über das verschlüsselte TLS-Protokoll beschreibt. Bei der Diskussion der Dprive-Arbeitsgruppe auf dem IETF Meeting 99, das derzeit in Prag stattfindet, zeigt sich aber, dass DNS über TLS kaum verwendet wird.

Die Gruppe muss zudem schlicht feststellen, dass für eine Evaluierung auch noch zu wenig aussagekräftige Daten vorliegen. Ob die Arbeit an dem Standard also tatsächlich erfolgreich war, muss sich noch zeigen. Außerdem weist Daniel Kahn Gillmor, der sich für die US-Bürgerrechtsorganisation ACLU in den Standardisierungsgremien und Arbeitsgruppen der IETF engagiert, darauf hin, dass Angreifer auf die Netzwerkverbindung den Port für DNS über TLS auch einfach blockieren können.

Mehr verschlüsseltes DNS

Der Vorteil von DNS über TLS gehe damit schlicht verloren. Um zu verdeutlichen, warum es deshalb weitere Arbeiten von Dprive an alternativen Methoden geben sollte, stellt Gillmor einen "üblen Hack" vor, mit dem DNS per Muxing auch über HTTPS auf Grundlage des alten HTTP/1 übertragen werden kann. Der Vorschlag sei sogar so einfach, dass Gillmor ihn selbst umgesetzt hat und die Technik als Paket für die Linux-Distribution Debian bereitstellt.

Gillmor betont aber auch selbst, dass seine Idee so schlecht sei, dass diese nur zur Demonstration dienen sollte und er seinen Vorschlag nicht zur Standardisierung einreichen wird. Deshalb solle an weiteren sicheren Übertragungswegen für DNS gearbeitet werden.

Zur Verfügung stehen dafür der erwähnte Vorschlag für DNS über HTTP/2 sowie DNS über das kommenden Quic, das ebenfalls standardmäßig eine verschlüsselte Verbindung liefert. Der erste Vorschlag wird, wenn er überhaupt umgesetzt wird, aber noch einige Zeit bis zur Standardisierung benötigen. Der zweite hängt von der Standardisierung von Quic selbst ab. Diese läuft zwar offiziell bereits seit einem Jahr, ist aber noch lange nicht abgeschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

ikhaya 21. Jul 2017

443 allein reicht nicht, du bräuchtest dennoch eine Vermischung mit einer echten...


Folgen Sie uns
       


iPhone 12 und iPhone 12 Pro - Fazit

Beim iPhone 12 und 12 Pro hat sich Apple vom bisherigen Design verabschiedet - im Test überzeugen Verarbeitung, Kamera und Display.

iPhone 12 und iPhone 12 Pro - Fazit Video aufrufen
Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


    Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
    Mafia Definitive Edition im Test
    Ein Remake, das wir nicht ablehnen können

    Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
    Ein Test von Marc Sauter

    1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
    2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
    3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

    SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
    SSD vs. HDD
    Die Zeit der Festplatte im Netzwerkspeicher läuft ab

    SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
    Ein Praxistest von Oliver Nickel

    1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

      •  /