Abo
  • Services:
Anzeige
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten.
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck)

Alternative DANE

Anzeige

Oftmals wird das DANE-Protokoll als mögliche Alternative zum System der Zertifizierungsstellen ins Gespräch gebracht. DANE sichert die Echtheit von Zertifikaten über DNS-Einträge ab, die wiederum mit DNSSEC signiert sind. Doch bei DANE gibt es noch sehr viele Fragezeichen. Zunächst einmal ist es so, dass DNSSEC seit vielen Jahren propagiert wird, aber praktisch eingesetzt wird es nahezu überhaupt nicht.

Viele Fragen beim praktischen Einsatz von DANE sind zudem völlig ungeklärt. Die Verifikation der DNSSEC-Signaturen wird von einem DNS-Resolver durchgeführt. Doch DNS-Resolver werden bisher in aller Regel nur von Providern betrieben und nicht von Nutzern. Die Abfrage der DNS-Resolver findet weiterhin ungeschützt statt.

Damit DANE sinnvoll funktioniert, müssten Nutzer eigene DNS-Server betreiben. Wie das passieren soll, ist bislang völlig unklar. Man könnte versuchen, alle Hersteller von Betriebssystemen dazu zu bringen, standardmäßig DNS-Server zu installieren, die die DNSSEC-Prüfung übernehmen. Doch das erscheint kaum realistisch. Eine Alternative wäre, dass Webbrowser einen eigenen DNS-Resolver betreiben. Es gibt einige Browserplugins, die so arbeiten. Im Moment arbeitet aber kein großer Browserhersteller daran, eine solche Funktion zu integrieren.

Zudem: Auch bei DNSSEC stellt sich die Frage, wem man hier eigentlich vertraut. Zwar ist es sicher ein Fortschritt, statt Hunderten Zertifizierungsstellen nur noch einer Stelle, beispielsweise der DeNIC, zu vertrauen. Aber auch hier sind natürlich Interventionen von Geheimdiensten nicht auszuschließen, und Systeme wie Key Pinning oder Certificate Transparency wären weiterhin sinnvoll.

Möglicherweise wird DANE irgendwann etwas zur Absicherung von HTTPS-Verbindungen beitragen, aber dafür muss noch viel passieren. Im Moment ist es zumindest bei HTTPS-Verbindungen nahezu nutzlos. Realistischerweise hat DANE eher dort eine Zukunft, wo bisher Zertifikate überhaupt nicht geprüft werden, beispielsweise bei SMTP-Verbindungen zwischen Servern.

 Mythos: Die Zertifizierungsstellen geben alle privaten Schlüssel an Geheimdienste weiterDie wirklichen Gründe: Inhalte von Drittanbietern 

eye home zur Startseite
kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Wuppertal
  2. Deutsche Nationalbibliothek, Frankfurt am Main
  3. Viega Holding GmbH & Co. KG, Attendorn
  4. Evangelische Kirche in Deutschland (EKD), Hannover


Anzeige
Blu-ray-Angebote
  1. 74,99€ (Vorbesteller-Preisgarantie)
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)

Folgen Sie uns
       


  1. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  2. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  3. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  4. PC

    Geld für Intel Inside wird stark gekürzt

  5. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  6. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  7. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  8. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  9. Lohn

    Streik bei Amazon an zwei Standorten

  10. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. National Electric Vehicle Sweden Der Saab 9-3 ist zurück als Elektroauto
  2. Kein Plug-in-Hybrid Rolls-Royce Phantom wird vollelektrisch
  3. Ionity Shell beteiligt sich am Aufbau einer Ladeinfrastruktur

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. IT-Sicherheit Neue Onlinehilfe für Anfänger
  2. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

  1. Re: Vllt. sparen die schon für ME-CPU...

    blaub4r | 01:38

  2. Re: Linux ist so extrem unsicher

    Rocky Horror... | 01:11

  3. Re: Laaangweilig

    Carl Weathers | 00:42

  4. Re: Die Kabine

    hl_1001 | 00:38

  5. Re: Habe ich dann 0,00005 GB/s?

    Cr0n1x | 00:19


  1. 17:01

  2. 16:38

  3. 16:00

  4. 15:29

  5. 15:16

  6. 14:50

  7. 14:25

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel