Abo
  • Services:

DANE und SSHFP: Fingerprints im DNS

DNSSEC ist bislang also weitgehend nutzlos, doch die Idee von DANE baut darauf auf. DANE sieht vor, dass im DNS signiert ein sogenannter TLSA-Record abgelegt wird. Dabei handelt es sich um den Fingerabdruck des für die TLS-Verbindung verwendeten Zertifikats.

Stellenmarkt
  1. Leuze electronic GmbH + Co. KG, Owen bei Kirchheim Teck
  2. SICK AG, Waldkirch bei Freiburg im Breisgau

Im Idealfall sähe dann der Verbindungsaufbau zu einer HTTPS-Webseite beispielsweise so aus: Der Browser löst zunächst, wie auch bisher, den DNS-Namen auf und fragt gleichzeitig beim DNS-Server nach einem DANE-Eintrag. Die Antworten des DNS-Servers sind signiert, insofern kann der Browser davon ausgehen, dass sie korrekt sind. Beim Verbindungsaufbau über HTTPS kann der Browser prüfen, ob der Fingerabdruck übereinstimmt, und andernfalls eine Verbindung verweigern. Im Moment sind das alles jedoch nur Pläne.

Ein DANE-ähnliches System gibt es auch für SSH. Im Standard RFC 4255 ist die Möglichkeit beschrieben, Fingerabdrücke von SSH-Schlüsseln im DNS abzulegen, das System nennt sich SSHFP.

Es existiert ein Browser-Plugin samt Quellcode unter der GPL 3-Lizenz für alle gängigen Browser, um DNSSEC-Antworten und DANE-Einträge zu prüfen. In unseren Tests funktionierte das allerdings nur unzuverlässig. Unter Firefox scheint das Plugin zu tun, was es sagt, unter Chromium konnten wir trotz aktivierten Plugins Seiten mit fehlerhaften DANE-Records weiterhin ohne jede Warnung aufrufen. Einige Testseiten hat die Firma Verisign online gestellt. Damit kann die Funktionsweise von DANE geprüft werden.

DANE für SMTP-Verifizierungen

Für E-Mail-Anbieter wie Posteo ist DANE noch aus einem weiteren Grund interessant. SMTP-Verbindungen zwischen verschiedenen Mailservern werden schon bisher häufig verschlüsselt, dazu kommt ein Verfahren namens STARTTLS zum Einsatz. Das Problem dabei: Die Zertifikate werden hier in aller Regel nicht geprüft. Denn viele Mailserver setzen keine Zertifikate von den bekannten Zertifizierungsstellen ein, sondern nutzen stattdessen selbstsignierte Zertifikate. Wer als Mailserver-Betreiber Zertifikate von anderen SMTP-Servern prüfen würde, hätte schnell ein Problem: Viele Mails würden schlicht nicht mehr ankommen oder könnten nicht mehr verschickt werden.

Mit DANE hofft Posteo, die Echtheitsprüfung von Zertifikaten in SMTP einführen zu können. Das Kalkül dabei: Ein Mailanbieter, der im DNS Informationen über seine Zertifikate hinterlegt, wird das nicht tun, wenn er dann das entsprechende Zertifikat nicht nutzt. Insofern kann man davon ausgehen, dass es sich, wenn bei einer SMTP-Verbindung ein falsches Zertifikat vorgezeigt wird, um einen bösartigen Angriff handelt.

Generelle Kritik an DNSSEC

Nicht verschwiegen werden sollte, dass einige Fachleute auch ganz grundsätzliche Kritik an DNSSEC haben. DNSSEC ist weiterhin ein hierarchisch organisiertes System und die geheimen Schlüssel der Top-Level-Domain-Betreiber spielen eine zentrale Rolle. Katastrophale Auswirkungen hätte es, wenn ein solcher Schlüssel geklaut würde. Die wichtigste Rolle spielt dabei natürlich der Root-Schlüssel der Icann. Dieser befindet sich auf den Servern der Icann in den USA - und damit natürlich auch im Zugriffsbereich der NSA.

Der Kryptograph Dan Bernstein sieht in DNSSEC noch weitere Probleme. Das Protokoll führe dazu, dass sogenannte DNS-Amplification-Angriffe, bei denen mit Hilfe von DNS-Servern DoS-Attacken durchgeführt werden, deutlich einfacher würden. Bernstein hat ein eigenes System zur Absicherung von DNS namens DNSCurve entwickelt, andere Fachleute sind jedoch der Ansicht, dass sich DNSCurve kaum umsetzen lässt und zentrale Fragen darin ungeklärt sind.

Diskussionen der IETF-Arbeitsgruppen drehen sich zurzeit eher um Googles Certificate Transparency, um die Sicherheit des Zertifikatssystems zu verbessern. Allerdings gibt es auch daran einige Kritik.

Fazit: Schritt in die richtige Richtung

Dass Posteo mit DANE versucht, die Sicherheit seiner TLS-Verbindungen zu verbessern, ist lobenswert. Allerdings hält sich der praktische Nutzen bislang in Grenzen. Bevor DNSSEC und DANE die Sicherheit im Netz verbessern können, muss noch viel passieren. Vor allem die Entwickler von Browsern, Mailprogrammen und anderen Clientanwendungen, die TLS-Verbindungen nutzen, sind hier gefragt.

Klar ist, dass die Sicherheit, die das System der Zertifizierungsstellen bietet, nicht ausreicht, um Vertrauen im Netz zu schaffen. Ob DANE ein Teil der Antwort auf diese Probleme sein kann, ist im Moment noch schwer abzusehen.

 Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. und Vive Pro vorbestellbar

chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...


Folgen Sie uns
       


Frösteln in Frostpunk - Golem.de Live

Frostpunk ist ein düsteres Aufbauspiel, aber mit der Unterstützung unserer Community haben wir frostige Zeiten im Livestream überwunden.

Frösteln in Frostpunk - Golem.de Live Video aufrufen
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


      •  /