Abo
  • Services:

DANE und SSHFP: Fingerprints im DNS

DNSSEC ist bislang also weitgehend nutzlos, doch die Idee von DANE baut darauf auf. DANE sieht vor, dass im DNS signiert ein sogenannter TLSA-Record abgelegt wird. Dabei handelt es sich um den Fingerabdruck des für die TLS-Verbindung verwendeten Zertifikats.

Stellenmarkt
  1. Netze BW GmbH, Karlsruhe
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn

Im Idealfall sähe dann der Verbindungsaufbau zu einer HTTPS-Webseite beispielsweise so aus: Der Browser löst zunächst, wie auch bisher, den DNS-Namen auf und fragt gleichzeitig beim DNS-Server nach einem DANE-Eintrag. Die Antworten des DNS-Servers sind signiert, insofern kann der Browser davon ausgehen, dass sie korrekt sind. Beim Verbindungsaufbau über HTTPS kann der Browser prüfen, ob der Fingerabdruck übereinstimmt, und andernfalls eine Verbindung verweigern. Im Moment sind das alles jedoch nur Pläne.

Ein DANE-ähnliches System gibt es auch für SSH. Im Standard RFC 4255 ist die Möglichkeit beschrieben, Fingerabdrücke von SSH-Schlüsseln im DNS abzulegen, das System nennt sich SSHFP.

Es existiert ein Browser-Plugin samt Quellcode unter der GPL 3-Lizenz für alle gängigen Browser, um DNSSEC-Antworten und DANE-Einträge zu prüfen. In unseren Tests funktionierte das allerdings nur unzuverlässig. Unter Firefox scheint das Plugin zu tun, was es sagt, unter Chromium konnten wir trotz aktivierten Plugins Seiten mit fehlerhaften DANE-Records weiterhin ohne jede Warnung aufrufen. Einige Testseiten hat die Firma Verisign online gestellt. Damit kann die Funktionsweise von DANE geprüft werden.

DANE für SMTP-Verifizierungen

Für E-Mail-Anbieter wie Posteo ist DANE noch aus einem weiteren Grund interessant. SMTP-Verbindungen zwischen verschiedenen Mailservern werden schon bisher häufig verschlüsselt, dazu kommt ein Verfahren namens STARTTLS zum Einsatz. Das Problem dabei: Die Zertifikate werden hier in aller Regel nicht geprüft. Denn viele Mailserver setzen keine Zertifikate von den bekannten Zertifizierungsstellen ein, sondern nutzen stattdessen selbstsignierte Zertifikate. Wer als Mailserver-Betreiber Zertifikate von anderen SMTP-Servern prüfen würde, hätte schnell ein Problem: Viele Mails würden schlicht nicht mehr ankommen oder könnten nicht mehr verschickt werden.

Mit DANE hofft Posteo, die Echtheitsprüfung von Zertifikaten in SMTP einführen zu können. Das Kalkül dabei: Ein Mailanbieter, der im DNS Informationen über seine Zertifikate hinterlegt, wird das nicht tun, wenn er dann das entsprechende Zertifikat nicht nutzt. Insofern kann man davon ausgehen, dass es sich, wenn bei einer SMTP-Verbindung ein falsches Zertifikat vorgezeigt wird, um einen bösartigen Angriff handelt.

Generelle Kritik an DNSSEC

Nicht verschwiegen werden sollte, dass einige Fachleute auch ganz grundsätzliche Kritik an DNSSEC haben. DNSSEC ist weiterhin ein hierarchisch organisiertes System und die geheimen Schlüssel der Top-Level-Domain-Betreiber spielen eine zentrale Rolle. Katastrophale Auswirkungen hätte es, wenn ein solcher Schlüssel geklaut würde. Die wichtigste Rolle spielt dabei natürlich der Root-Schlüssel der Icann. Dieser befindet sich auf den Servern der Icann in den USA - und damit natürlich auch im Zugriffsbereich der NSA.

Der Kryptograph Dan Bernstein sieht in DNSSEC noch weitere Probleme. Das Protokoll führe dazu, dass sogenannte DNS-Amplification-Angriffe, bei denen mit Hilfe von DNS-Servern DoS-Attacken durchgeführt werden, deutlich einfacher würden. Bernstein hat ein eigenes System zur Absicherung von DNS namens DNSCurve entwickelt, andere Fachleute sind jedoch der Ansicht, dass sich DNSCurve kaum umsetzen lässt und zentrale Fragen darin ungeklärt sind.

Diskussionen der IETF-Arbeitsgruppen drehen sich zurzeit eher um Googles Certificate Transparency, um die Sicherheit des Zertifikatssystems zu verbessern. Allerdings gibt es auch daran einige Kritik.

Fazit: Schritt in die richtige Richtung

Dass Posteo mit DANE versucht, die Sicherheit seiner TLS-Verbindungen zu verbessern, ist lobenswert. Allerdings hält sich der praktische Nutzen bislang in Grenzen. Bevor DNSSEC und DANE die Sicherheit im Netz verbessern können, muss noch viel passieren. Vor allem die Entwickler von Browsern, Mailprogrammen und anderen Clientanwendungen, die TLS-Verbindungen nutzen, sind hier gefragt.

Klar ist, dass die Sicherheit, die das System der Zertifizierungsstellen bietet, nicht ausreicht, um Vertrauen im Netz zu schaffen. Ob DANE ein Teil der Antwort auf diese Probleme sein kann, ist im Moment noch schwer abzusehen.

 Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. 34,99€

chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...


Folgen Sie uns
       


Fazit zu Spider-Man (PS4)

Spider-Man ist trotz ein paar kleiner Schwächen ein gelungenes Spiel, dem wir mit viel Freude ins Netz gehen.

Fazit zu Spider-Man (PS4) Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
    Elektroroller-Verleih Coup
    Zum Laden in den Keller gehen

    Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
    Ein Bericht von Friedhelm Greis

    1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
    2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
    3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    Apple: iPhone Xs und iPhone Xs Max sind bierdicht
    Apple
    iPhone Xs und iPhone Xs Max sind bierdicht

    Apple verdoppelt das iPhone X. Das Modell iPhone Xs mit 5,8 Zoll großem Display ist der Nachfolger des iPhone X und das iPhone Xs Max ist ein Plus-Modell mit 6,5 Zoll großem Display. Die Gehäuse sind sogar salzwasserfest und überstehen auch Bäder in anderen Flüssigkeiten.

    1. Apple iPhone 3GS wird in Südkorea wieder verkauft
    2. Drosselung beim iPhone Apple zahlt Kunden Geld für Akkutausch zurück
    3. NFC Yubikeys arbeiten ab sofort mit dem iPhone zusammen

      •  /