Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

DANE könnte die Echtheitsprüfung von Zertifikaten bei TLS-Verbindungen verbessern. Allerdings benötigt das System DNSSEC - und das ist bislang kaum verbreitet. Der Mailanbieter Posteo prescht jetzt voran und will das System etablieren.

Artikel veröffentlicht am , Hanno Böck
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

Der E-Mail-Anbieter Posteo setzt künftig auf DANE, um Kunden die Möglichkeit zu bieten, Zertifikate für TLS-Verbindungen zu prüfen. Die Idee dabei ist es, im Domain Name System Informationen über Zertifikate abzulegen, so dass Browser oder andere Clients deren Echtheit über einen zusätzlichen Mechanismus prüfen können. DANE baut dabei auf das DNSSEC-System auf, mit dem DNS-Einträge signiert werden können.

Inhalt:
  1. Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen
  2. DANE und SSHFP: Fingerprints im DNS

DANE steht für DNS-based Authentification of Name Entries und ist im RFC 6698 standardisiert. Es könnte ein Baustein sein, um die Sicherheit von Zertifikaten zu verbessern. Allerdings ist der Schritt von Posteo im Moment allenfalls von symbolischer Bedeutung: Die Verbreitung von DNSSEC ist gering, und solange niemand DNSSEC-Signaturen und DANE prüft, nützt die Technologie auch nichts.

Das Problem ist offensichtlich: Bislang liefert jeder Browser eine lange Liste von Zertifizierungsstellen mit, denen jeder Nutzer automatisch vertraut. Dass dieses Vertrauen kaum gerechtfertigt ist, zeigt die Erfahrung. Zahlreiche Zertifizierungsstellen haben in der Vergangenheit teilweise Hunderte gefälschte Zertifikate ausgestellt, oft hielten sich Zertifizierungsstellen nicht einmal an die von ihnen selbst aufgestellten Regeln. Diginotar, Comodo oder Türktrust stehen für den Verlust an Vertrauen in das System der Zertifizierungsstellen.

Doch obwohl das System der Zertifizierungsstellen in so vielen Fällen katastrophal versagt hat, gestaltet sich die Suche nach Alternativen schwierig. Einige Vorschläge liegen zwar auf dem Tisch, darunter das Pinning-System TACK oder das von Google vorgeschlagene System Certificate Transparency, doch bislang konnte sich keiner durchsetzen.

Voraussetzung DNSSEC

Das Domain Name System (DNS), das dafür zuständig ist, im Internet Domainnamen wie Golem.de mit IP-Adressen wie 176.74.59.148 zu verknüpfen, ist schon etwas älter und sieht in seiner ursprünglichen Form praktisch keine Sicherheitsmechanismen vor. Ob eine DNS-Antwort echt ist, lässt sich nicht prüfen, sie könnte auch von einem Angreifer stammen. DNSSEC soll hier Abhilfe schaffen: Ein Signatursystem für Domainnamen. Die Grundidee: Es existiert ein globaler Root-Schlüssel bei der Icann, dieser signiert jeweils Schlüssel für die einzelnen Top Level Domains wie .com oder .de und diese signieren wiederum Schlüssel für die einzelnen Domains. Betreiber von DNS-Servern können dann die DNS-Antworten selbst ebenfalls signiert ausliefern.

Im Jahr 2008 hat der Sicherheitsforscher Dan Kaminsky einen Angriff auf DNS vorgestellt, der sich oftmals auch praktisch ausnutzen ließ. Dieser wurde in den gängigen DNS-Servern zwar durch Workarounds erschwert, aber klar war, dass langfristig DNS nicht mehr sicher genug ist. Der Ruf nach DNSSEC wurde lauter. Allerdings ist das jetzt sechs Jahre her. Seitdem wurde zwar die Basisinfrastruktur für DNSSEC etabliert und die meisten Top Level Domains haben DNSSEC-Schlüssel, wirklich genutzt wird DNSSEC allerdings bis heute nur sehr selten - und zwar sowohl auf Server- als auch auf Client-Seite.

Aktuellen Statistiken zufolge nutzt etwa ein Prozent der laut Alexa beliebtesten Webseiten DNSSEC. In Deutschland sieht es sogar noch schlechter aus: Hier beträgt die Verbreitung lediglich 0,4 Prozent. Sie ist damit noch geringer als die Verbreitung von IPv6. Zumindest zum jetzigen Zeitpunkt kann man DNSSEC also getrost als Vapoware bezeichnen.

Doch selbst bei Domains, die mit DNSSEC geschützt sind, nützt das Ganze in aller Regel überhaupt nichts. Denn ein Client müsste erst einmal prüfen, ob die Signaturen eines DNS-Eintrags korrekt sind. Wie das ablaufen soll, ist völlig unklar. Bislang funktionieren die DNS-Operationen meistens so, dass eine Software, etwa ein Browser, Funktionen des Betriebssystems zur DNS-Auflösung aufruft und das Betriebssystem dann relativ direkt einen entsprechenden DNS-Server aufruft. Meist ist dies der DNS-Server des Zugangsproviders, beispielsweise der Telekom.

Es gäbe nun mehrere Möglichkeiten, hier DNSSEC einzuführen. Nutzer können sich etwa lokal einen eigenen DNS-Server installieren, der die Signaturen prüft. Vorstellbar wäre auch, dass der Browser selbst eine Art Mini-DNS-Server betreibt, der die Signaturen prüft. Ebenfalls denkbar wäre es, dass nur der Provider die DNSSEC-Einträge prüft. Sonderlich empfehlenswert wäre das aber nicht, denn dann müsste der Nutzer darauf vertrauen, dass der Zugangsprovider die Signaturen korrekt prüft.

Wie auch immer DNSSEC in Zukunft genau umgesetzt werden soll: Im Moment wird es weder von Betriebssystemen noch von irgendeinem Browser geprüft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
DANE und SSHFP: Fingerprints im DNS 
  1. 1
  2. 2
  3.  
Aktuell auf der Startseite von Golem.de
Direkte-E-Fuel-Produktion  
Porsches Masterplan hinter dem Verbrennerkompromiss

Der Sportwagenhersteller will künftig E-Fuels direkt im Fahrzeug produzieren. Dazu übernimmt Porsche das strauchelnde Start-up Sono Motors.
Ein Bericht von Friedhelm Greis

Direkte-E-Fuel-Produktion: Porsches Masterplan hinter dem Verbrennerkompromiss
Artikel
  1. BrouwUnie: Tesla verkauft Giga Bier zu einem stolzen Preis
    BrouwUnie
    Tesla verkauft Giga Bier zu einem stolzen Preis

    Tesla hat, wie von Elon Musk versprochen, nun eine eigene Biermarke im Angebot und verkauft drei Flaschen für knapp 90 Euro.

  2. Google: Ursache für Acropalypse-Lücke in Android seit Jahren bekannt
    Google
    Ursache für Acropalypse-Lücke in Android seit Jahren bekannt

    Eine wohl undokumentierte API-Änderung führte zu der Acropalypse-Sicherheitslücke. Das Problem dabei ist Google schon früh gemeldet worden.

  3. Sprachmodelle: Warum ChatGPT so erfolgreich ist
    Sprachmodelle
    Warum ChatGPT so erfolgreich ist

    KI-Insider Wie erklärt sich der Erfolg von ChatGPT, obwohl es nur eines von vielen Sprachmodellen und leistungsstarken KI-Systemen ist? Drei Faktoren sind ausschlaggebend.
    Von Thilo Hagendorff

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • ASUS VG27AQ1A QHD/170 Hz 269€ • Crucial P3 Plus 1 TB 60,98€ • ViewSonic VX3218-PC-MHDJ FHD/165 Hz 227,89€ • MindStar: be quiet! Pure Base 600 79€ • Alternate: Corsair Vengeance RGB 64-GB-Kit DDR5-6000 276,89€ und Weekend Sale • Elex II 12,99€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /