DNS-based Authentication of Named Entities (DANE)

DNS-based Authentication of Named Entities (DANE)

Copyright © Shutterstock / Kunst Bilder

Was bedeutet DNS-based Authentication of Named Entities (DANE)?

Bei DNS-based Authentication of Named Entities (DANE) handelt es sich um eine Reihe von Protokollen, welche die DNSSEC-Infrastruktur des Domain Name System zur Authentisierung verwenden. Die DANE Protokolle werden von der IETF (Internet Engineering Task Force) standardisiert und erhöhen die Sicherheit im Internet, indem SchlĂŒssel in das DNS eingefĂŒgt und von DNSSEC geschĂŒtzt werden.

Hintergrund fĂŒr die Entwicklung von DANE

Die Authentifizierung von DNS-Namen (Domain Name System) fĂŒr Transport-Layer-Security (TLS) ist in vielen Internetprotokollen ein zentrales Sicherheitsrisiko, vor allem im HTTP-Protokoll. Die kryptografischen Bindungen, die der TLS-Authentifizierung zugrunde liegen, in PKIX-Zertifikaten (Public Key Infrastructure for X.509) geltend gemacht, die von Zertifizierungsstellen von Drittanbietern (CA) ausgestellt wurden.

TLS wird als Basis fĂŒr Sicherheitsfunktionen in vielen modernen Internet-Anwendungsdienstprotokollen verwendet, um sichere Client-Server-Verbindungen bereitzustellen. Es basiert auf sicherem HTTP und sicheren E-Mails und bietet Hop-by-Hop-Sicherheit in Echtzeit-Multimedia- und Instant-Messaging-Protokollen. In diesen Anwendungen wird der Dienst, zu dem der Benutzer eine Verbindung herstellen möchte, durch einen DNS-DomĂ€nennamen identifiziert.

Der Zweck von TLS in diesen FĂ€llen ist es, den Server als legitimen Vertreter des DomĂ€nennamens zu authentifizieren. Das heißt, es soll sicherzustellen, dass die EntitĂ€t am anderen Ende der Verbindung tatsĂ€chlich, die ist, fĂŒr die sie sich ausgibt.

Die Funktionsweise der DNS-based Authentication of Named Entities

DANE ist ein Standard, der DNS und DNSSEC verwendet, um eine sichere Authentifizierung fĂŒr jeden Internet-Host bereitzustellen, einschließlich eines Mechanismus, der angibt, dass ein Host TLS-verschlĂŒsselte Kommunikation unterstĂŒtzt und tatsĂ€chlich anfordert.

Die Arbeitsgruppe fĂŒr DNS-based Authentication of Named Entities entwickelt Protokolle, mit denen Zertifikate mithilfe von DNSSEC an DNS-Namen gebunden werden können. Diese Protokolle ermöglichen zusĂ€tzliche Zusicherungen fĂŒr das traditionelle, auf PKIX basierende Modell. Es ermöglicht Domaininhabern, Zertifikate fĂŒr sich selbst ohne Bezugnahme auf Zertifizierungsstellen von Drittanbietern zu aktivieren.

DANE Records

Der DANE zugrundeliegende Standard RFC 6698 wurde 2012 veröffentlicht und 2015 wurde seine Verwendung fĂŒr die E-Mail-Übertragung in RFC 7672 formalisiert, wodurch die Sicherheit gegen das Abhören von E-Mails erheblich verbessert wurde. DANE definiert fĂŒr die E-Mail Sicherheit vier verschiedene Betriebsmodi im Feld “Zertifikatverwendung” eines TLSA-Datensatzes:

Der TLSA-Datensatz gibt die Zertifizierungsstelle an, die TLS-Zertifikate fĂŒr die DomĂ€ne bereitstellt. Hiermit wird angegeben, dass eine DomĂ€ne nur TLS-Zertifikate von einer bestimmten Zertifizierungsstelle verwendet. Wenn der Browser oder eine andere Anwendung, die die DANE-Validierung verwendet, ein TLS-Zertifikat von einer anderen Zertifizierungsstelle sieht, sollte dieses TLS-Zertifikat als gefĂ€lscht abgelehnt werden.
Der TLSA-Datensatz gibt das genaue TLS-Zertifikat an, das fĂŒr die DomĂ€ne verwendet werden soll. Dieses TLS-Zertifikat muss von einer gĂŒltigen Zertifizierungsstelle ausgestellt werden.
Der TLSA-Datensatz gibt den “Vertrauensanker” an, der zur ÜberprĂŒfung der TLS-Zertifikate fĂŒr die DomĂ€ne verwendet wird. Wenn ein Unternehmen beispielsweise eine eigene Zertifizierungsstelle betreibt, die nicht in der Liste der in Clientanwendungen normalerweise installierten Zertifizierungsstellen steht, könnte diese Verwendung von DANE das Zertifikat (oder den Fingerabdruck) fĂŒr die Zertifizierungsstelle bereitstellen.
Der TLS-Datensatz gibt das genaue TLS-Zertifikat an, das fĂŒr die DomĂ€ne verwendet werden soll. Aber im Gegensatz zu Verwendung des Betriebsmodus 0 muss das TLS-Zertifikat nicht von einer gĂŒltigen Zertifizierungsstelle signiert werden. Dies ermöglicht die Verwendung von selbst signierten Zertifikaten.

Aufgrund der FlexibilitĂ€t der verschiedenen Verwendungsmodi des DNS-based Authentication of Named Entities Protokolls kann mit ihm eine von DNSSEC validierte zusĂ€tzliche Vertrauensschicht fĂŒr regulĂ€re, von CA signierte TLS-Zertifikate bereitgestellt werden, und es kann eine DNSSEC-validierte Vertrauensschicht fĂŒr selbst signierte Zertifikate hinzugefĂŒgt werden.

Der DomĂ€nenname des Servers muss mit DNSSEC gesichert sein, damit DANE funktioniert. Wenn der DomĂ€nenname des Servers nicht mit DNSSEC gesichert ist, wird jeder Angriff, bei dem eine DNS-Antwort gefĂ€lscht wird, auch die DNS-based Authentication of Named Entities tĂ€uschen können. DNSSEC bietet Nutzern eine Vertrauenskette, die der einer Zertifizierungsstelle Ă€hnelt, jedoch mit dem Unterschied, dass nur ein SchlĂŒssel ĂŒberwacht werden muss, wĂ€hrend es Hunderte Zertifizierungsstellen gibt, von denen nicht immer alle vertrauenswĂŒrdig sind.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte