Abo
  • Services:
Anzeige
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

DANE und SSHFP: Fingerprints im DNS

Anzeige

DNSSEC ist bislang also weitgehend nutzlos, doch die Idee von DANE baut darauf auf. DANE sieht vor, dass im DNS signiert ein sogenannter TLSA-Record abgelegt wird. Dabei handelt es sich um den Fingerabdruck des für die TLS-Verbindung verwendeten Zertifikats.

Im Idealfall sähe dann der Verbindungsaufbau zu einer HTTPS-Webseite beispielsweise so aus: Der Browser löst zunächst, wie auch bisher, den DNS-Namen auf und fragt gleichzeitig beim DNS-Server nach einem DANE-Eintrag. Die Antworten des DNS-Servers sind signiert, insofern kann der Browser davon ausgehen, dass sie korrekt sind. Beim Verbindungsaufbau über HTTPS kann der Browser prüfen, ob der Fingerabdruck übereinstimmt, und andernfalls eine Verbindung verweigern. Im Moment sind das alles jedoch nur Pläne.

Ein DANE-ähnliches System gibt es auch für SSH. Im Standard RFC 4255 ist die Möglichkeit beschrieben, Fingerabdrücke von SSH-Schlüsseln im DNS abzulegen, das System nennt sich SSHFP.

Es existiert ein Browser-Plugin samt Quellcode unter der GPL 3-Lizenz für alle gängigen Browser, um DNSSEC-Antworten und DANE-Einträge zu prüfen. In unseren Tests funktionierte das allerdings nur unzuverlässig. Unter Firefox scheint das Plugin zu tun, was es sagt, unter Chromium konnten wir trotz aktivierten Plugins Seiten mit fehlerhaften DANE-Records weiterhin ohne jede Warnung aufrufen. Einige Testseiten hat die Firma Verisign online gestellt. Damit kann die Funktionsweise von DANE geprüft werden.

DANE für SMTP-Verifizierungen

Für E-Mail-Anbieter wie Posteo ist DANE noch aus einem weiteren Grund interessant. SMTP-Verbindungen zwischen verschiedenen Mailservern werden schon bisher häufig verschlüsselt, dazu kommt ein Verfahren namens STARTTLS zum Einsatz. Das Problem dabei: Die Zertifikate werden hier in aller Regel nicht geprüft. Denn viele Mailserver setzen keine Zertifikate von den bekannten Zertifizierungsstellen ein, sondern nutzen stattdessen selbstsignierte Zertifikate. Wer als Mailserver-Betreiber Zertifikate von anderen SMTP-Servern prüfen würde, hätte schnell ein Problem: Viele Mails würden schlicht nicht mehr ankommen oder könnten nicht mehr verschickt werden.

Mit DANE hofft Posteo, die Echtheitsprüfung von Zertifikaten in SMTP einführen zu können. Das Kalkül dabei: Ein Mailanbieter, der im DNS Informationen über seine Zertifikate hinterlegt, wird das nicht tun, wenn er dann das entsprechende Zertifikat nicht nutzt. Insofern kann man davon ausgehen, dass es sich, wenn bei einer SMTP-Verbindung ein falsches Zertifikat vorgezeigt wird, um einen bösartigen Angriff handelt.

Generelle Kritik an DNSSEC

Nicht verschwiegen werden sollte, dass einige Fachleute auch ganz grundsätzliche Kritik an DNSSEC haben. DNSSEC ist weiterhin ein hierarchisch organisiertes System und die geheimen Schlüssel der Top-Level-Domain-Betreiber spielen eine zentrale Rolle. Katastrophale Auswirkungen hätte es, wenn ein solcher Schlüssel geklaut würde. Die wichtigste Rolle spielt dabei natürlich der Root-Schlüssel der Icann. Dieser befindet sich auf den Servern der Icann in den USA - und damit natürlich auch im Zugriffsbereich der NSA.

Der Kryptograph Dan Bernstein sieht in DNSSEC noch weitere Probleme. Das Protokoll führe dazu, dass sogenannte DNS-Amplification-Angriffe, bei denen mit Hilfe von DNS-Servern DoS-Attacken durchgeführt werden, deutlich einfacher würden. Bernstein hat ein eigenes System zur Absicherung von DNS namens DNSCurve entwickelt, andere Fachleute sind jedoch der Ansicht, dass sich DNSCurve kaum umsetzen lässt und zentrale Fragen darin ungeklärt sind.

Diskussionen der IETF-Arbeitsgruppen drehen sich zurzeit eher um Googles Certificate Transparency, um die Sicherheit des Zertifikatssystems zu verbessern. Allerdings gibt es auch daran einige Kritik.

Fazit: Schritt in die richtige Richtung

Dass Posteo mit DANE versucht, die Sicherheit seiner TLS-Verbindungen zu verbessern, ist lobenswert. Allerdings hält sich der praktische Nutzen bislang in Grenzen. Bevor DNSSEC und DANE die Sicherheit im Netz verbessern können, muss noch viel passieren. Vor allem die Entwickler von Browsern, Mailprogrammen und anderen Clientanwendungen, die TLS-Verbindungen nutzen, sind hier gefragt.

Klar ist, dass die Sicherheit, die das System der Zertifizierungsstellen bietet, nicht ausreicht, um Vertrauen im Netz zu schaffen. Ob DANE ein Teil der Antwort auf diese Probleme sein kann, ist im Moment noch schwer abzusehen.

 Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

eye home zur Startseite
chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...



Anzeige

Stellenmarkt
  1. Swiss Post Solutions GmbH, Bamberg
  2. AKDB, München
  3. Carmeq GmbH, Wolfsburg/Berlin
  4. Ratbacher GmbH, Raum Köln


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 47,99€
  3. 3,49€

Folgen Sie uns
       


  1. QD-LCD mit LED-BLU

    Forscher kritisieren Samsungs QLED-Marketing

  2. Amazon, Maxdome, Netflix und Co.

    EU will europäische Filmquote etablieren

  3. XPS 13 (9365) im Test

    Dells Convertible zeigt alte Stärken und neue Schwächen

  4. Glaskorrosion

    CCDs in alten Leicas werden nicht mehr gratis ausgetauscht

  5. Zweitbildschirm

    Duet Display macht iPad Pro zum Zeichentablett für Mac und PC

  6. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  7. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  8. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  9. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  10. Matebook X

    Huawei stellt erstes Notebook vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

  1. Re: 30% Müll

    IncredibleAlk | 10:06

  2. Re: Kreativ != produktiv?

    Kondratieff | 10:06

  3. Re: Quoten können sinnvoll sein

    My1 | 10:05

  4. Re: Problem für Nischenanbieter?

    Muhaha | 10:04

  5. Re: Spulenfiepen!?

    on(Golem.de) | 10:02


  1. 10:00

  2. 09:35

  3. 09:03

  4. 07:28

  5. 07:14

  6. 16:58

  7. 16:10

  8. 15:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel