Abo
  • Services:

Alternative DANE

Oftmals wird das DANE-Protokoll als mögliche Alternative zum System der Zertifizierungsstellen ins Gespräch gebracht. DANE sichert die Echtheit von Zertifikaten über DNS-Einträge ab, die wiederum mit DNSSEC signiert sind. Doch bei DANE gibt es noch sehr viele Fragezeichen. Zunächst einmal ist es so, dass DNSSEC seit vielen Jahren propagiert wird, aber praktisch eingesetzt wird es nahezu überhaupt nicht.

Stellenmarkt
  1. inovex GmbH, verschiedene Standorte (Home-Office möglich)
  2. Labor Kneißler GmbH & Co. KG, Burglengenfeld bei Regensburg

Viele Fragen beim praktischen Einsatz von DANE sind zudem völlig ungeklärt. Die Verifikation der DNSSEC-Signaturen wird von einem DNS-Resolver durchgeführt. Doch DNS-Resolver werden bisher in aller Regel nur von Providern betrieben und nicht von Nutzern. Die Abfrage der DNS-Resolver findet weiterhin ungeschützt statt.

Damit DANE sinnvoll funktioniert, müssten Nutzer eigene DNS-Server betreiben. Wie das passieren soll, ist bislang völlig unklar. Man könnte versuchen, alle Hersteller von Betriebssystemen dazu zu bringen, standardmäßig DNS-Server zu installieren, die die DNSSEC-Prüfung übernehmen. Doch das erscheint kaum realistisch. Eine Alternative wäre, dass Webbrowser einen eigenen DNS-Resolver betreiben. Es gibt einige Browserplugins, die so arbeiten. Im Moment arbeitet aber kein großer Browserhersteller daran, eine solche Funktion zu integrieren.

Zudem: Auch bei DNSSEC stellt sich die Frage, wem man hier eigentlich vertraut. Zwar ist es sicher ein Fortschritt, statt Hunderten Zertifizierungsstellen nur noch einer Stelle, beispielsweise der DeNIC, zu vertrauen. Aber auch hier sind natürlich Interventionen von Geheimdiensten nicht auszuschließen, und Systeme wie Key Pinning oder Certificate Transparency wären weiterhin sinnvoll.

Möglicherweise wird DANE irgendwann etwas zur Absicherung von HTTPS-Verbindungen beitragen, aber dafür muss noch viel passieren. Im Moment ist es zumindest bei HTTPS-Verbindungen nahezu nutzlos. Realistischerweise hat DANE eher dort eine Zukunft, wo bisher Zertifikate überhaupt nicht geprüft werden, beispielsweise bei SMTP-Verbindungen zwischen Servern.

 Mythos: Die Zertifizierungsstellen geben alle privaten Schlüssel an Geheimdienste weiterDie wirklichen Gründe: Inhalte von Drittanbietern 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  
Zu den Kommentaren springen
Meistgelesen
  1. Windenergie
    Mister Windkraft will die Welt vor dem Klimakollaps retten
  2. Urheberrecht
    Wikipedia aus Protest gegen Uploadfilter abgeschaltet
  3. NUC8 (Crimson Canyon) im Test
    AMD rettet Intels 10-nm-Minirechner
  4. Bluetooth-Hörstöpsel
    Apples neue Airpods reagieren auf Hey Siri
  5. EEG
    Windkraft in Gefahr
Anzeige
Spiele-Angebote
  1. 3,89€
  2. 2,50€
  3. 32,95€
  4. (-8%) 54,99€
Kommentarübersicht
Re: Startssl.com schafft aktuell selbst keine...
kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

Re: Zertifikate kaufen != Zertifikate signieren...
hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

Re: Zertifizierungsstelle erstellt den privaten...
hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

Re: einfachere Einrichtung
spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

Re: Teuer...
HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...

Folgen Sie uns
       
Samsung Galaxy S10e - Test

Das Galaxy S10e ist das kleinste Modell von Samsungs neuer Galaxy-S10-Reihe - und für uns der Geheimtipp der Serie.

Samsung Galaxy S10e - Test Video aufrufen
Boeing
Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test
VPN
Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN
Adventure
Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /