Abo
  • Services:
Anzeige
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

DANE könnte die Echtheitsprüfung von Zertifikaten bei TLS-Verbindungen verbessern. Allerdings benötigt das System DNSSEC - und das ist bislang kaum verbreitet. Der Mailanbieter Posteo prescht jetzt voran und will das System etablieren.

Anzeige

Der E-Mail-Anbieter Posteo setzt künftig auf DANE, um Kunden die Möglichkeit zu bieten, Zertifikate für TLS-Verbindungen zu prüfen. Die Idee dabei ist es, im Domain Name System Informationen über Zertifikate abzulegen, so dass Browser oder andere Clients deren Echtheit über einen zusätzlichen Mechanismus prüfen können. DANE baut dabei auf das DNSSEC-System auf, mit dem DNS-Einträge signiert werden können.

DANE steht für DNS-based Authentification of Name Entries und ist im RFC 6698 standardisiert. Es könnte ein Baustein sein, um die Sicherheit von Zertifikaten zu verbessern. Allerdings ist der Schritt von Posteo im Moment allenfalls von symbolischer Bedeutung: Die Verbreitung von DNSSEC ist gering, und solange niemand DNSSEC-Signaturen und DANE prüft, nützt die Technologie auch nichts.

Das Problem ist offensichtlich: Bislang liefert jeder Browser eine lange Liste von Zertifizierungsstellen mit, denen jeder Nutzer automatisch vertraut. Dass dieses Vertrauen kaum gerechtfertigt ist, zeigt die Erfahrung. Zahlreiche Zertifizierungsstellen haben in der Vergangenheit teilweise Hunderte gefälschte Zertifikate ausgestellt, oft hielten sich Zertifizierungsstellen nicht einmal an die von ihnen selbst aufgestellten Regeln. Diginotar, Comodo oder Türktrust stehen für den Verlust an Vertrauen in das System der Zertifizierungsstellen.

Doch obwohl das System der Zertifizierungsstellen in so vielen Fällen katastrophal versagt hat, gestaltet sich die Suche nach Alternativen schwierig. Einige Vorschläge liegen zwar auf dem Tisch, darunter das Pinning-System TACK oder das von Google vorgeschlagene System Certificate Transparency, doch bislang konnte sich keiner durchsetzen.

Voraussetzung DNSSEC

Das Domain Name System (DNS), das dafür zuständig ist, im Internet Domainnamen wie Golem.de mit IP-Adressen wie 176.74.59.148 zu verknüpfen, ist schon etwas älter und sieht in seiner ursprünglichen Form praktisch keine Sicherheitsmechanismen vor. Ob eine DNS-Antwort echt ist, lässt sich nicht prüfen, sie könnte auch von einem Angreifer stammen. DNSSEC soll hier Abhilfe schaffen: Ein Signatursystem für Domainnamen. Die Grundidee: Es existiert ein globaler Root-Schlüssel bei der Icann, dieser signiert jeweils Schlüssel für die einzelnen Top Level Domains wie .com oder .de und diese signieren wiederum Schlüssel für die einzelnen Domains. Betreiber von DNS-Servern können dann die DNS-Antworten selbst ebenfalls signiert ausliefern.

Im Jahr 2008 hat der Sicherheitsforscher Dan Kaminsky einen Angriff auf DNS vorgestellt, der sich oftmals auch praktisch ausnutzen ließ. Dieser wurde in den gängigen DNS-Servern zwar durch Workarounds erschwert, aber klar war, dass langfristig DNS nicht mehr sicher genug ist. Der Ruf nach DNSSEC wurde lauter. Allerdings ist das jetzt sechs Jahre her. Seitdem wurde zwar die Basisinfrastruktur für DNSSEC etabliert und die meisten Top Level Domains haben DNSSEC-Schlüssel, wirklich genutzt wird DNSSEC allerdings bis heute nur sehr selten - und zwar sowohl auf Server- als auch auf Client-Seite.

Aktuellen Statistiken zufolge nutzt etwa ein Prozent der laut Alexa beliebtesten Webseiten DNSSEC. In Deutschland sieht es sogar noch schlechter aus: Hier beträgt die Verbreitung lediglich 0,4 Prozent. Sie ist damit noch geringer als die Verbreitung von IPv6. Zumindest zum jetzigen Zeitpunkt kann man DNSSEC also getrost als Vapoware bezeichnen.

Doch selbst bei Domains, die mit DNSSEC geschützt sind, nützt das Ganze in aller Regel überhaupt nichts. Denn ein Client müsste erst einmal prüfen, ob die Signaturen eines DNS-Eintrags korrekt sind. Wie das ablaufen soll, ist völlig unklar. Bislang funktionieren die DNS-Operationen meistens so, dass eine Software, etwa ein Browser, Funktionen des Betriebssystems zur DNS-Auflösung aufruft und das Betriebssystem dann relativ direkt einen entsprechenden DNS-Server aufruft. Meist ist dies der DNS-Server des Zugangsproviders, beispielsweise der Telekom.

Es gäbe nun mehrere Möglichkeiten, hier DNSSEC einzuführen. Nutzer können sich etwa lokal einen eigenen DNS-Server installieren, der die Signaturen prüft. Vorstellbar wäre auch, dass der Browser selbst eine Art Mini-DNS-Server betreibt, der die Signaturen prüft. Ebenfalls denkbar wäre es, dass nur der Provider die DNSSEC-Einträge prüft. Sonderlich empfehlenswert wäre das aber nicht, denn dann müsste der Nutzer darauf vertrauen, dass der Zugangsprovider die Signaturen korrekt prüft.

Wie auch immer DNSSEC in Zukunft genau umgesetzt werden soll: Im Moment wird es weder von Betriebssystemen noch von irgendeinem Browser geprüft.

DANE und SSHFP: Fingerprints im DNS 

eye home zur Startseite
chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...



Anzeige

Stellenmarkt
  1. Schwarz Zentrale Dienste KG, Neckarsulm
  2. bimoso GmbH über ACADEMIC WORK, Hamburg
  3. über JobLeads GmbH, Nürnberg
  4. Altmann Analytik GmbH & Co. KG, München


Anzeige
Top-Angebote
  1. ab 34,95€ im PCGH-Preisvergleich
  2. ab 17,97€
  3. 359,00€ statt 570,00€

Folgen Sie uns
       


  1. Mediendienste-Richtlinie

    Youtuber sollen keine Schleichwerbung mehr machen dürfen

  2. Hannover Messe und Cebit

    Die Deutsche Bahn ärgert Messebesucher

  3. LTE

    Australien setzt auf Fixed Wireless mit 1 GBit/s

  4. Ultrastar He12

    HGST liefert seine 12-Terabyte-Festplatte aus

  5. Windows 10 Mobile

    Creators Update für Smartphones wird verteilt

  6. Europa

    700-MHz-Band soll Mobilfunk verbessern

  7. Altes Protokoll

    Debian-Projekt stellt FTP-Server ein

  8. Webserver

    Nginx 1.13 erscheint mit TLS-1.3-Support

  9. Europäischer Gerichtshof

    Streaming aus illegalen Quellen ist rechtswidrig

  10. Cryogenic Memory

    Rambus arbeitet an tiefgekühltem Quantenspeicher



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarte Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen
  2. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  3. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs

  1. Re: Ich warte weiter auf einen 25 Mbit Unlimited...

    M.P. | 17:26

  2. Re: War überfällig

    scrumdideldu | 17:26

  3. Re: Völliger Bullshit

    neocron | 17:25

  4. Re: Statt eine Kaffeemaschine zu backen

    Dwalinn | 17:25

  5. Re: Maus für Rechtshänder, Frage an die Linkshänder

    croal | 17:24


  1. 17:20

  2. 17:01

  3. 16:37

  4. 16:14

  5. 14:56

  6. 14:38

  7. 14:18

  8. 13:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel