Abo
  • Services:
Anzeige
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

DANE und SSHFP: Fingerprints im DNS

Anzeige

DNSSEC ist bislang also weitgehend nutzlos, doch die Idee von DANE baut darauf auf. DANE sieht vor, dass im DNS signiert ein sogenannter TLSA-Record abgelegt wird. Dabei handelt es sich um den Fingerabdruck des für die TLS-Verbindung verwendeten Zertifikats.

Im Idealfall sähe dann der Verbindungsaufbau zu einer HTTPS-Webseite beispielsweise so aus: Der Browser löst zunächst, wie auch bisher, den DNS-Namen auf und fragt gleichzeitig beim DNS-Server nach einem DANE-Eintrag. Die Antworten des DNS-Servers sind signiert, insofern kann der Browser davon ausgehen, dass sie korrekt sind. Beim Verbindungsaufbau über HTTPS kann der Browser prüfen, ob der Fingerabdruck übereinstimmt, und andernfalls eine Verbindung verweigern. Im Moment sind das alles jedoch nur Pläne.

Ein DANE-ähnliches System gibt es auch für SSH. Im Standard RFC 4255 ist die Möglichkeit beschrieben, Fingerabdrücke von SSH-Schlüsseln im DNS abzulegen, das System nennt sich SSHFP.

Es existiert ein Browser-Plugin samt Quellcode unter der GPL 3-Lizenz für alle gängigen Browser, um DNSSEC-Antworten und DANE-Einträge zu prüfen. In unseren Tests funktionierte das allerdings nur unzuverlässig. Unter Firefox scheint das Plugin zu tun, was es sagt, unter Chromium konnten wir trotz aktivierten Plugins Seiten mit fehlerhaften DANE-Records weiterhin ohne jede Warnung aufrufen. Einige Testseiten hat die Firma Verisign online gestellt. Damit kann die Funktionsweise von DANE geprüft werden.

DANE für SMTP-Verifizierungen

Für E-Mail-Anbieter wie Posteo ist DANE noch aus einem weiteren Grund interessant. SMTP-Verbindungen zwischen verschiedenen Mailservern werden schon bisher häufig verschlüsselt, dazu kommt ein Verfahren namens STARTTLS zum Einsatz. Das Problem dabei: Die Zertifikate werden hier in aller Regel nicht geprüft. Denn viele Mailserver setzen keine Zertifikate von den bekannten Zertifizierungsstellen ein, sondern nutzen stattdessen selbstsignierte Zertifikate. Wer als Mailserver-Betreiber Zertifikate von anderen SMTP-Servern prüfen würde, hätte schnell ein Problem: Viele Mails würden schlicht nicht mehr ankommen oder könnten nicht mehr verschickt werden.

Mit DANE hofft Posteo, die Echtheitsprüfung von Zertifikaten in SMTP einführen zu können. Das Kalkül dabei: Ein Mailanbieter, der im DNS Informationen über seine Zertifikate hinterlegt, wird das nicht tun, wenn er dann das entsprechende Zertifikat nicht nutzt. Insofern kann man davon ausgehen, dass es sich, wenn bei einer SMTP-Verbindung ein falsches Zertifikat vorgezeigt wird, um einen bösartigen Angriff handelt.

Generelle Kritik an DNSSEC

Nicht verschwiegen werden sollte, dass einige Fachleute auch ganz grundsätzliche Kritik an DNSSEC haben. DNSSEC ist weiterhin ein hierarchisch organisiertes System und die geheimen Schlüssel der Top-Level-Domain-Betreiber spielen eine zentrale Rolle. Katastrophale Auswirkungen hätte es, wenn ein solcher Schlüssel geklaut würde. Die wichtigste Rolle spielt dabei natürlich der Root-Schlüssel der Icann. Dieser befindet sich auf den Servern der Icann in den USA - und damit natürlich auch im Zugriffsbereich der NSA.

Der Kryptograph Dan Bernstein sieht in DNSSEC noch weitere Probleme. Das Protokoll führe dazu, dass sogenannte DNS-Amplification-Angriffe, bei denen mit Hilfe von DNS-Servern DoS-Attacken durchgeführt werden, deutlich einfacher würden. Bernstein hat ein eigenes System zur Absicherung von DNS namens DNSCurve entwickelt, andere Fachleute sind jedoch der Ansicht, dass sich DNSCurve kaum umsetzen lässt und zentrale Fragen darin ungeklärt sind.

Diskussionen der IETF-Arbeitsgruppen drehen sich zurzeit eher um Googles Certificate Transparency, um die Sicherheit des Zertifikatssystems zu verbessern. Allerdings gibt es auch daran einige Kritik.

Fazit: Schritt in die richtige Richtung

Dass Posteo mit DANE versucht, die Sicherheit seiner TLS-Verbindungen zu verbessern, ist lobenswert. Allerdings hält sich der praktische Nutzen bislang in Grenzen. Bevor DNSSEC und DANE die Sicherheit im Netz verbessern können, muss noch viel passieren. Vor allem die Entwickler von Browsern, Mailprogrammen und anderen Clientanwendungen, die TLS-Verbindungen nutzen, sind hier gefragt.

Klar ist, dass die Sicherheit, die das System der Zertifizierungsstellen bietet, nicht ausreicht, um Vertrauen im Netz zu schaffen. Ob DANE ein Teil der Antwort auf diese Probleme sein kann, ist im Moment noch schwer abzusehen.

 Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

eye home zur Startseite
chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...



Anzeige

Stellenmarkt
  1. IT Services mpsna GmbH, Herten
  2. via 3C - Career Consulting Company GmbH, München, Frankfurt, Hamburg, Düsseldorf, Berlin (Home-Office)
  3. Schwarz Zentrale Dienste KG, Neckarsulm
  4. cab Produkttechnik GmbH & Co. KG, Karlsruhe


Anzeige
Top-Angebote
  1. 259€ + 5,99€ Versand
  2. 499€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

  1. Naiv

    Pldoom | 05:17

  2. Bitte löschen.

    Pldoom | 05:16

  3. Re: Aber PGP ist schuld ...

    Pete Sabacker | 03:31

  4. Re: Wie sicher sind solche Qi-Spulen vor Attacken?

    Maatze | 02:48

  5. Re: "dem sei ohnehin nicht mehr zu helfen"

    LinuxMcBook | 02:45


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel