Abo
  • Services:
Anzeige
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin.
DNSSEC und DANE prüfen funktioniert im Moment nur via Browser-Plugin. (Bild: DNSSEC Validator)

Zertifikate: DANE und DNSSEC könnten mehr Sicherheit bringen

DANE könnte die Echtheitsprüfung von Zertifikaten bei TLS-Verbindungen verbessern. Allerdings benötigt das System DNSSEC - und das ist bislang kaum verbreitet. Der Mailanbieter Posteo prescht jetzt voran und will das System etablieren.

Anzeige

Der E-Mail-Anbieter Posteo setzt künftig auf DANE, um Kunden die Möglichkeit zu bieten, Zertifikate für TLS-Verbindungen zu prüfen. Die Idee dabei ist es, im Domain Name System Informationen über Zertifikate abzulegen, so dass Browser oder andere Clients deren Echtheit über einen zusätzlichen Mechanismus prüfen können. DANE baut dabei auf das DNSSEC-System auf, mit dem DNS-Einträge signiert werden können.

DANE steht für DNS-based Authentification of Name Entries und ist im RFC 6698 standardisiert. Es könnte ein Baustein sein, um die Sicherheit von Zertifikaten zu verbessern. Allerdings ist der Schritt von Posteo im Moment allenfalls von symbolischer Bedeutung: Die Verbreitung von DNSSEC ist gering, und solange niemand DNSSEC-Signaturen und DANE prüft, nützt die Technologie auch nichts.

Das Problem ist offensichtlich: Bislang liefert jeder Browser eine lange Liste von Zertifizierungsstellen mit, denen jeder Nutzer automatisch vertraut. Dass dieses Vertrauen kaum gerechtfertigt ist, zeigt die Erfahrung. Zahlreiche Zertifizierungsstellen haben in der Vergangenheit teilweise Hunderte gefälschte Zertifikate ausgestellt, oft hielten sich Zertifizierungsstellen nicht einmal an die von ihnen selbst aufgestellten Regeln. Diginotar, Comodo oder Türktrust stehen für den Verlust an Vertrauen in das System der Zertifizierungsstellen.

Doch obwohl das System der Zertifizierungsstellen in so vielen Fällen katastrophal versagt hat, gestaltet sich die Suche nach Alternativen schwierig. Einige Vorschläge liegen zwar auf dem Tisch, darunter das Pinning-System TACK oder das von Google vorgeschlagene System Certificate Transparency, doch bislang konnte sich keiner durchsetzen.

Voraussetzung DNSSEC

Das Domain Name System (DNS), das dafür zuständig ist, im Internet Domainnamen wie Golem.de mit IP-Adressen wie 176.74.59.148 zu verknüpfen, ist schon etwas älter und sieht in seiner ursprünglichen Form praktisch keine Sicherheitsmechanismen vor. Ob eine DNS-Antwort echt ist, lässt sich nicht prüfen, sie könnte auch von einem Angreifer stammen. DNSSEC soll hier Abhilfe schaffen: Ein Signatursystem für Domainnamen. Die Grundidee: Es existiert ein globaler Root-Schlüssel bei der Icann, dieser signiert jeweils Schlüssel für die einzelnen Top Level Domains wie .com oder .de und diese signieren wiederum Schlüssel für die einzelnen Domains. Betreiber von DNS-Servern können dann die DNS-Antworten selbst ebenfalls signiert ausliefern.

Im Jahr 2008 hat der Sicherheitsforscher Dan Kaminsky einen Angriff auf DNS vorgestellt, der sich oftmals auch praktisch ausnutzen ließ. Dieser wurde in den gängigen DNS-Servern zwar durch Workarounds erschwert, aber klar war, dass langfristig DNS nicht mehr sicher genug ist. Der Ruf nach DNSSEC wurde lauter. Allerdings ist das jetzt sechs Jahre her. Seitdem wurde zwar die Basisinfrastruktur für DNSSEC etabliert und die meisten Top Level Domains haben DNSSEC-Schlüssel, wirklich genutzt wird DNSSEC allerdings bis heute nur sehr selten - und zwar sowohl auf Server- als auch auf Client-Seite.

Aktuellen Statistiken zufolge nutzt etwa ein Prozent der laut Alexa beliebtesten Webseiten DNSSEC. In Deutschland sieht es sogar noch schlechter aus: Hier beträgt die Verbreitung lediglich 0,4 Prozent. Sie ist damit noch geringer als die Verbreitung von IPv6. Zumindest zum jetzigen Zeitpunkt kann man DNSSEC also getrost als Vapoware bezeichnen.

Doch selbst bei Domains, die mit DNSSEC geschützt sind, nützt das Ganze in aller Regel überhaupt nichts. Denn ein Client müsste erst einmal prüfen, ob die Signaturen eines DNS-Eintrags korrekt sind. Wie das ablaufen soll, ist völlig unklar. Bislang funktionieren die DNS-Operationen meistens so, dass eine Software, etwa ein Browser, Funktionen des Betriebssystems zur DNS-Auflösung aufruft und das Betriebssystem dann relativ direkt einen entsprechenden DNS-Server aufruft. Meist ist dies der DNS-Server des Zugangsproviders, beispielsweise der Telekom.

Es gäbe nun mehrere Möglichkeiten, hier DNSSEC einzuführen. Nutzer können sich etwa lokal einen eigenen DNS-Server installieren, der die Signaturen prüft. Vorstellbar wäre auch, dass der Browser selbst eine Art Mini-DNS-Server betreibt, der die Signaturen prüft. Ebenfalls denkbar wäre es, dass nur der Provider die DNSSEC-Einträge prüft. Sonderlich empfehlenswert wäre das aber nicht, denn dann müsste der Nutzer darauf vertrauen, dass der Zugangsprovider die Signaturen korrekt prüft.

Wie auch immer DNSSEC in Zukunft genau umgesetzt werden soll: Im Moment wird es weder von Betriebssystemen noch von irgendeinem Browser geprüft.

DANE und SSHFP: Fingerprints im DNS 

eye home zur Startseite
chrulri 16. Mai 2014

Der Angreifer kann sich ja auch valide Wildcard-Zertifikate für *.phising-adresse.com...

herzcaro 13. Mai 2014

Es ist nicht einfach heutzutage einen guten Namen zu finden für einen Mailprovider. Wenn...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Bonn
  2. Wüstenrot Immobilien GmbH, Ludwigsburg
  3. Robert Bosch GmbH, Leonberg
  4. Völkl Sports GmbH & Co. KG, Straubing, Raum Regensburg / Deggendorf


Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 7,99€
  3. ab 59,98€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. GVFS

    Windows-Team nutzt fast vollständig Git

  2. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  3. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  4. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  5. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf

  6. Microsoft

    Mixer soll schneller streamen als Youtube Gaming und Twitch

  7. Linux

    Kritische Sicherheitslücke in Samba gefunden

  8. Auftragsfertiger

    Samsung erweitert Roadmap bis 4 nm plus EUV

  9. Fake News

    Ägypten blockiert 21 Internetmedien

  10. Bungie

    Destiny 2 mischt Peer-to-Peer und dedizierte Server



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  2. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2
  3. UP2718Q Dell verkauft HDR10-Monitor ab Mai 2017

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

  1. Noch ein Argument

    qwertü | 13:34

  2. Re: Gesundheitsrisiken?

    Carlo Escobar | 13:32

  3. Re: Monetarisierung

    Funky303 | 13:32

  4. Re: Induktionsladung = schlechter Wirkungsgrad

    hardtech | 13:31

  5. Re: Ressourcenentführung

    Rulf | 13:31


  1. 13:35

  2. 13:17

  3. 13:05

  4. 12:30

  5. 12:01

  6. 12:00

  7. 11:58

  8. 11:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel