Abo
  • Services:
Anzeige
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten.
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck)

Alternative DANE

Anzeige

Oftmals wird das DANE-Protokoll als mögliche Alternative zum System der Zertifizierungsstellen ins Gespräch gebracht. DANE sichert die Echtheit von Zertifikaten über DNS-Einträge ab, die wiederum mit DNSSEC signiert sind. Doch bei DANE gibt es noch sehr viele Fragezeichen. Zunächst einmal ist es so, dass DNSSEC seit vielen Jahren propagiert wird, aber praktisch eingesetzt wird es nahezu überhaupt nicht.

Viele Fragen beim praktischen Einsatz von DANE sind zudem völlig ungeklärt. Die Verifikation der DNSSEC-Signaturen wird von einem DNS-Resolver durchgeführt. Doch DNS-Resolver werden bisher in aller Regel nur von Providern betrieben und nicht von Nutzern. Die Abfrage der DNS-Resolver findet weiterhin ungeschützt statt.

Damit DANE sinnvoll funktioniert, müssten Nutzer eigene DNS-Server betreiben. Wie das passieren soll, ist bislang völlig unklar. Man könnte versuchen, alle Hersteller von Betriebssystemen dazu zu bringen, standardmäßig DNS-Server zu installieren, die die DNSSEC-Prüfung übernehmen. Doch das erscheint kaum realistisch. Eine Alternative wäre, dass Webbrowser einen eigenen DNS-Resolver betreiben. Es gibt einige Browserplugins, die so arbeiten. Im Moment arbeitet aber kein großer Browserhersteller daran, eine solche Funktion zu integrieren.

Zudem: Auch bei DNSSEC stellt sich die Frage, wem man hier eigentlich vertraut. Zwar ist es sicher ein Fortschritt, statt Hunderten Zertifizierungsstellen nur noch einer Stelle, beispielsweise der DeNIC, zu vertrauen. Aber auch hier sind natürlich Interventionen von Geheimdiensten nicht auszuschließen, und Systeme wie Key Pinning oder Certificate Transparency wären weiterhin sinnvoll.

Möglicherweise wird DANE irgendwann etwas zur Absicherung von HTTPS-Verbindungen beitragen, aber dafür muss noch viel passieren. Im Moment ist es zumindest bei HTTPS-Verbindungen nahezu nutzlos. Realistischerweise hat DANE eher dort eine Zukunft, wo bisher Zertifikate überhaupt nicht geprüft werden, beispielsweise bei SMTP-Verbindungen zwischen Servern.

 Mythos: Die Zertifizierungsstellen geben alle privaten Schlüssel an Geheimdienste weiterDie wirklichen Gründe: Inhalte von Drittanbietern 

eye home zur Startseite
kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...



Anzeige

Stellenmarkt
  1. Bertrandt Ingenieurbüro GmbH, München
  2. über Nash direct GmbH, München
  3. über Personalwerk Sourcing GmbH, Bad Nauheim
  4. ETAS GmbH & Co. KG, Stuttgart


Anzeige
Hardware-Angebote
  1. 64,90€ + 3,99€ Versand
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Lustig. Aber Telefonkabel ist super?

    486dx4-160 | 01:27

  2. Re: Wegfall bedeutet kein Recht auf...

    486dx4-160 | 01:21

  3. Re: Koaxial steht der Glasfaser in kaum etwas nach

    bombinho | 01:02

  4. Re: Cool

    ML82 | 00:51

  5. Re: TP-Link Einschätzung

    DetlevCM | 00:50


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel