• IT-Karriere:
  • Services:

DNSSEC auf Clients praktisch nicht vorhanden

Doch selbst wenn alle Hürden überwunden und die Records einer Domain via DNSSEC signiert werden: Viel nützt das nicht. Denn Signaturen nützen logischerweise nur dann etwas, wenn sie auch geprüft werden.

Stellenmarkt
  1. CureVac AG, Tübingen
  2. Kommunix GmbH, Unna

Das Konzept von DNSSEC sieht vor, dass die DNS-Signaturen im Resolver geprüft werden. Im Normalfall betreiben gewöhnliche Clientsysteme, also Desktop-PCs, Smartphones und Ähnliche, keine eigenen Resolver. Der Resolver steht vielmehr beim jeweils zuständigen Internetzugangsprovider. Somit kann DNSSEC zwar die Verbindung vom für eine Domain zuständigen autoritativen Name-Server zum Resolver des Providers absichern. Aber der Nutzer kann nach wie vor nicht darauf vertrauen, dass die DNS-Antworten korrekt sind. Insbesondere bei heute üblichen Nutzungsszenarien - Stichwort öffentlich zugängliche WLAN-Netze - ist es kaum sinnvoll, auf den DNS-Resolver des Providers zu vertrauen.

Um eine richtige Absicherung der DNS-Antworten zu gewährleisten, müsste der Anwender selbst einen DNS-Resolver betreiben. Das könnte entweder das Betriebssystem oder eine Anwendung wie beispielsweise der Browser tun. Allerdings: Kein relevantes Betriebssystem und kein Browser machen das bislang. Es gibt auch keine ernsthaften Bemühungen, hieran etwas zu ändern.

Resolver auf dem Client kaum realistisch

Ob ein solcher Resolver auf dem Client überhaupt umsetzbar wäre, ist mehr als fraglich. Der Google-Entwickler Adam Langley hat vor einiger Zeit die möglichen Probleme in einem Blogbeitrag ausgeführt. Bei einem Experiment mit dem Chrome-Browser stellte sich heraus, dass auf fünf Prozent der Clients bestimmte DNS-Anfragen nach TXT-Records nicht ankamen. Viele Netzwerke filtern demnach DNS-Pakete mit ungewöhnlichen Anfragen. DNSSEC dürfte damit noch mehr Probleme haben.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Eine Umsetzung von DNSSEC in Clients hätte also zwei Möglichkeiten: Entweder man akzeptiert, dass die Internetverbindung in vielen Netzen nicht funktioniert, oder man baut in diesem Fall einen Fallback ein. Ersteres dürfte kaum ein Anwender für akzeptabel halten, Letzteres wiederum ist völlig sinnlos, denn wenn es einen Fallback gibt, kann auch ein Angreifer einfach entsprechende Pakete ausfiltern und somit den DNSSEC-Schutz aushebeln.

Abgesehen von wenigen Anwendern, die spezielle Browser-Plugins nutzen oder eigene DNS-Resolver betreiben, ist aus heutiger Sicht DNSSEC auf Clients praktisch nicht vorhanden. Das muss man immer bedenken, wenn man Zahlen über das Protokoll hört, die beispielsweise angeben, dass eine bestimmte Zahl von Domains bereits darüber abgesichert ist. Diese Zahlen sind rein theoretisch. Für ein funktionierendes Deployment muss der gesamte Stack - von der DNS-Root-Zone bis zum Client - implementiert werden. Das reale Deployment von DNSSEC dürfte sich maximal im Promillebereich bewegen.

Luftschloss DANE

Eine grundsätzliche Frage, die sich bei DNSSEC stellt: Wozu soll das System überhaupt dienen? Es würde - wenn es funktioniert - teilweise dazu beitragen zu gewährleisten, dass man nicht mit der falschen IP-Adresse verbunden ist. Verkürzt könnte man sagen: DNSSEC soll - teilweise - sicherstellen, dass man mit der richtigen Gegenstelle verbunden ist. Doch hierfür gibt es bereits ein System: TLS und die dazugehörigen X.509-Zertifikate.

TLS-Zertifikate sind allerdings über die Jahre in Verruf geraten - und das aus gutem Grund. Das System krankt daran, dass es eine unüberschaubar große Zahl von Zertifizierungsstellen gibt. Klassischerweise war es so, dass jede Zertifizierungsstelle für jede Domain ein Zertifikat ausstellen konnte. Eine einzige kompromittierte Zertifizierungsstelle reicht, um Schaden anzurichten und Zertifikate zu fälschen. Das führte in der Vergangenheit immer wieder zu Problemen. Falsch ausgestellte Zertifikate von Comodo, Diginotar, ANSSI, CNNIC und vielen anderen stehen für die Probleme des Zertifikatssystems.

DANE ist keine brauchbare Alternative zu Zertifizierungsstellen

Das DANE-Protokoll (DNS-based Authentication of Name Entities) wird gerne als Lösung für die Probleme mit TLS-Zertifikaten beworben. Die Idee von DANE: Wenn DNS-Antworten bereits abgesichert sind, könnte man darüber ja weitere Informationen verteilen, beispielsweise die Fingerprints von Zertifikaten. Damit könnte man die Prüfung von TLS-Zertifikaten zusätzlich absichern.

Das wäre möglicherweise eine sinnvolle Idee, wenn DNSSEC funktionieren würde. Doch wie bereits erläutert, ist funktionierendes DNSSEC - insbesondere auf gängigen Endnutzerclients - nahezu nicht verbreitet. Das gesamte DANE-Konzept scheitert daran, dass hier versucht wird, auf etwas aufzubauen, was in der Praxis überhaupt nicht vorhanden ist.

Key Pinning und Certificate Transparency

DANE ist jedoch nicht der einzige Versuch, die Sicherheit von TLS-Zertifikaten zu verbessern. Bereits funktionstüchtig ist das von Google entwickelte HTTP Public Key Pinning (HPKP), ein HTTP-Header, mit dem eine Webseite dem Browser signalisieren kann, dass er das Seitenzertifikat und ein Ersatzzertifikat speichern und künftig Verbindungen mit anderen Zertifikaten ablehnen soll.

HPKP verhindert bereits sehr viele Probleme mit TLS-Zertifikaten und im Gegensatz zu DANE und DNSSEC ist das Deployment relativ simpel. In Firefox und Chrome/Chromium ist die Unterstützung bereits vorhanden, serverseitig benötigt man keinerlei Änderungen an der Software, lediglich ein entsprechender HTTP-Header muss gesendet werden.

Noch nicht ganz so weit, aber sehr vielversprechend ist ein weiteres Konzept zur Stärkung des Zertifikatssystems: das Protokoll Certificate Transparency, ebenfalls von Google entwickelt. Die Idee dabei sind öffentlich verifizierbare Logs, in die alle Zertifikate eingetragen werden sollen. Taucht ein Zertifikat auf, das nicht in einem Log steht, kann der Browser Alarm schlagen.

Die Kritik am TLS-Zertifikatssystem und den Zertifizierungsstellen ist in vieler Hinsicht völlig berechtigt. Doch man sollte dabei nicht vergessen, dass in den vergangenen Jahren einiges dafür getan wurde, die Sicherheit dieses Systems zu verbessern. DANE hat bislang allerdings hierzu nicht viel beigetragen.

Einige kleinere E-Mail-Anbieter in Deutschland nutzen DANE, um die Server-zu-Server-Verbindungen von SMTP abzusichern. Das ist tatsächlich eine der wenigen Nischenanwendungen, wo DNSSEC funktionieren könnte, denn die oben erwähnten Probleme mit dem Deployment auf Clients treffen hier nicht zu. Große Verbreitung hat dies jedoch bisher nicht gefunden und angesichts der unsicheren Zukunft von DNSSEC stellt sich die Frage, ob man hier besser auf Alternativen setzen sollte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Protokoll: DNSSEC ist gescheitertSchwache Krypto und Reflection-Angriffe 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 23,99€
  2. 4,19€
  3. (u. a. Star Wars Battlefront 2 für 7,99€, A Way Out für 5,99€)

Bitschnipser 02. Jul 2015

Leg doch mal Zahlen vor. Relevante Punkte: 1) Technischer Mehraufwand im Vergleich zur...

bremse 30. Jun 2015

Weckruf? Indem man Dinge für tot erklärt, trägt man nicht gerade zur Verbreitung bei...

P1r4nh4 30. Jun 2015

Also ich glaube Otto-Normalsurferwird das vermutlich kaum machen. Aber ich habe mir...

M.P. 30. Jun 2015

Hmm, ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-) oder...

Wechselgänger 30. Jun 2015

Schön, daß du meinen nächsten Satz nicht mit zitiert hast. Der geht genau darauf ein...


Folgen Sie uns
       


Zoom Escaper ausprobiert

Der Zoom Escaper ist eine Möglichkeit, sich aus Videokonferenzen zu schummeln. Wir haben ihn ausprobiert.

Zoom Escaper ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /