Abo
  • Services:
Anzeige
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

DANE und SSHFP: Fingerprints im DNS

Anzeige

DNSSEC ist bislang also weitgehend nutzlos, doch die Idee von DANE baut darauf auf. DANE sieht vor, dass im DNS signiert ein sogenannter TLSA-Record abgelegt wird. Dabei handelt es sich um den Fingerabdruck des für die TLS-Verbindung verwendeten Zertifikats.

Im Idealfall sähe dann der Verbindungsaufbau zu einer HTTPS-Webseite beispielsweise so aus: Der Browser löst zunächst, wie auch bisher, den DNS-Namen auf und fragt gleichzeitig beim DNS-Server nach einem DANE-Eintrag. Die Antworten des DNS-Servers sind signiert, insofern kann der Browser davon ausgehen, dass sie korrekt sind. Beim Verbindungsaufbau über HTTPS kann der Browser prüfen, ob der Fingerabdruck übereinstimmt, und andernfalls eine Verbindung verweigern. Im Moment sind das alles jedoch nur Pläne.

Ein DANE-ähnliches System gibt es auch für SSH. Im Standard RFC 4255 ist die Möglichkeit beschrieben, Fingerabdrücke von SSH-Schlüsseln im DNS abzulegen, das System nennt sich SSHFP.

Es existiert ein Browser-Plugin samt Quellcode unter der GPL 3-Lizenz für alle gängigen Browser, um DNSSEC-Antworten und DANE-Einträge zu prüfen. In unseren Tests funktionierte das allerdings nur unzuverlässig. Unter Firefox scheint das Plugin zu tun, was es sagt, unter Chromium konnten wir trotz aktivierten Plugins Seiten mit fehlerhaften DANE-Records weiterhin ohne jede Warnung aufrufen. Einige Testseiten hat die Firma Verisign online gestellt. Damit kann die Funktionsweise von DANE geprüft werden.

DANE für SMTP-Verifizierungen

Für E-Mail-Anbieter wie Posteo ist DANE noch aus einem weiteren Grund interessant. SMTP-Verbindungen zwischen verschiedenen Mailservern werden schon bisher häufig verschlüsselt, dazu kommt ein Verfahren namens STARTTLS zum Einsatz. Das Problem dabei: Die Zertifikate werden hier in aller Regel nicht geprüft. Denn viele Mailserver setzen keine Zertifikate von den bekannten Zertifizierungsstellen ein, sondern nutzen stattdessen selbstsignierte Zertifikate. Wer als Mailserver-Betreiber Zertifikate von anderen SMTP-Servern prüfen würde, hätte schnell ein Problem: Viele Mails würden schlicht nicht mehr ankommen oder könnten nicht mehr verschickt werden.

Mit DANE hofft Posteo, die Echtheitsprüfung von Zertifikaten in SMTP einführen zu können. Das Kalkül dabei: Ein Mailanbieter, der im DNS Informationen über seine Zertifikate hinterlegt, wird das nicht tun, wenn er dann das entsprechende Zertifikat nicht nutzt. Insofern kann man davon ausgehen, dass es sich, wenn bei einer SMTP-Verbindung ein falsches Zertifikat vorgezeigt wird, um einen bösartigen Angriff handelt.

Generelle Kritik an DNSSEC

Nicht verschwiegen werden sollte, dass einige Fachleute auch ganz grundsätzliche Kritik an DNSSEC haben. DNSSEC ist weiterhin ein hierarchisch organisiertes System und die geheimen Schlüssel der Top-Level-Domain-Betreiber spielen eine zentrale Rolle. Katastrophale Auswirkungen hätte es, wenn ein solcher Schlüssel geklaut würde. Die wichtigste Rolle spielt dabei natürlich der Root-Schlüssel der Icann. Dieser befindet sich auf den Servern der Icann in den USA - und damit natürlich auch im Zugriffsbereich der NSA.

Der Kryptograph Dan Bernstein sieht in DNSSEC noch weitere Probleme. Das Protokoll führe dazu, dass sogenannte DNS-Amplification-Angriffe, bei denen mit Hilfe von DNS-Servern DoS-Attacken durchgeführt werden, deutlich einfacher würden. Bernstein hat ein eigenes System zur Absicherung von DNS namens DNSCurve entwickelt, andere Fachleute sind jedoch der Ansicht, dass sich DNSCurve kaum umsetzen lässt und zentrale Fragen darin ungeklärt sind.

Diskussionen der IETF-Arbeitsgruppen drehen sich zurzeit eher um Googles Certificate Transparency, um die Sicherheit des Zertifikatssystems zu verbessern. Allerdings gibt es auch daran einige Kritik.

Fazit: Schritt in die richtige Richtung

Dass Posteo mit DANE versucht, die Sicherheit seiner TLS-Verbindungen zu verbessern, ist lobenswert. Allerdings hält sich der praktische Nutzen bislang in Grenzen. Bevor DNSSEC und DANE die Sicherheit im Netz verbessern können, muss noch viel passieren. Vor allem die Entwickler von Browsern, Mailprogrammen und anderen Clientanwendungen, die TLS-Verbindungen nutzen, sind hier gefragt.

Klar ist, dass die Sicherheit, die das System der Zertifizierungsstellen bietet, nicht ausreicht, um Vertrauen im Netz zu schaffen. Ob DANE ein Teil der Antwort auf diese Probleme sein kann, ist im Moment noch schwer abzusehen.

 Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

eye home zur Startseite
chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...



Anzeige

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Groz-Beckert KG, Albstadt
  3. Bureau Veritas Consumer Products Services Germany GmbH, Schwerin
  4. FLS GmbH, Heikendorf bei Kiel


Anzeige
Spiele-Angebote
  1. ab 129,99€
  2. 11,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Classic Factory

    Elextra, der Elektro-Supersportwagen aus der Schweiz

  2. Docsis 3.1

    AVM arbeitet an 10-GBit/s-Kabelrouter

  3. Upspin

    Google-Angestellte basteln an globalem File-Sharing-System

  4. Apple Park

    Apple bezieht das Raumschiff

  5. Google Cloud Platform

    Tesla-Grafik für maschinelles Lernen verfügbar

  6. Ryzen

    AMDs Achtkern-CPUs sind schneller als erwartet

  7. Deutsche Glasfaser

    Gemeinde erreicht Glasfaser-Quote am letzten Tag

  8. Suchmaschine

    Google macht angepasste Site Search dicht

  9. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  10. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Knirschen und Klemmen Macbook Pro 2016 mit Tastaturproblemen
  2. MX Board Silent Mechanische Tastatur von Cherry bringt Ruhe ins Büro
  3. Smartphone TCL will neues Blackberry mit Tastatur bringen

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. SCiO

    Eheran | 20:56

  2. Re: Klingt komisch/unglaubwürdig

    Eheran | 20:55

  3. Re: Biete Job für Linux-Profi in Bremen

    amagol | 20:54

  4. Re: bewerbungsfragen... mal zum self assessment. :-)

    bjs | 20:54

  5. Also leider doch deutlich langsamer als Intel

    mrgenie | 20:54


  1. 18:05

  2. 16:33

  3. 16:23

  4. 16:12

  5. 15:04

  6. 15:01

  7. 14:16

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel