DNS-based Authentication of Named Entities (DANE)

dane

Copyright ┬ę Shutterstock / Kunst Bilder

Was bedeutet DNS-based Authentication of Named Entities (DANE)?

Bei DNS-based Authentication of Named Entities (DANE) handelt es sich um eine Reihe von Protokollen, welche die DNSSEC-Infrastruktur des Domain Name System zur Authentisierung verwenden. Die DANE Protokolle werden von der IETF (Internet Engineering Task Force) standardisiert und erh├Âhen die Sicherheit im Internet, indem Schl├╝ssel in das DNS eingef├╝gt und von DNSSEC gesch├╝tzt werden.

Hintergrund f├╝r die Entwicklung von DANE

Die Authentifizierung von DNS-Namen (Domain Name System) f├╝r Transport-Layer-Security (TLS) ist in vielen Internetprotokollen ein zentrales Sicherheitsrisiko, vor allem im HTTP-Protokoll. Die kryptografischen Bindungen, die der TLS-Authentifizierung zugrunde liegen, in PKIX-Zertifikaten (Public Key Infrastructure for X.509) geltend gemacht, die von Zertifizierungsstellen von Drittanbietern (CA) ausgestellt wurden.

TLS wird als Basis f├╝r Sicherheitsfunktionen in vielen modernen Internet-Anwendungsdienstprotokollen verwendet, um sichere Client-Server-Verbindungen bereitzustellen. Es basiert auf sicherem HTTP und sicheren E-Mails und bietet Hop-by-Hop-Sicherheit in Echtzeit-Multimedia- und Instant-Messaging-Protokollen. In diesen Anwendungen wird der Dienst, zu dem der Benutzer eine Verbindung herstellen m├Âchte, durch einen DNS-Dom├Ąnennamen identifiziert.

Der Zweck von TLS in diesen F├Ąllen ist es, den Server als legitimen Vertreter des Dom├Ąnennamens zu authentifizieren. Das hei├čt, es soll sicherzustellen, dass die Entit├Ąt am anderen Ende der Verbindung tats├Ąchlich, die ist, f├╝r die sie sich ausgibt.

Die Funktionsweise der DNS-based Authentication of Named Entities

DANE ist ein Standard, der DNS und DNSSEC verwendet, um eine sichere Authentifizierung f├╝r jeden Internet-Host bereitzustellen, einschlie├člich eines Mechanismus, der angibt, dass ein Host TLS-verschl├╝sselte Kommunikation unterst├╝tzt und tats├Ąchlich anfordert.

Die Arbeitsgruppe f├╝r DNS-based Authentication of Named Entities entwickelt Protokolle, mit denen Zertifikate mithilfe von DNSSEC an DNS-Namen gebunden werden k├Ânnen. Diese Protokolle erm├Âglichen zus├Ątzliche Zusicherungen f├╝r das traditionelle, auf PKIX basierende Modell. Es erm├Âglicht Domaininhabern, Zertifikate f├╝r sich selbst ohne Bezugnahme auf Zertifizierungsstellen von Drittanbietern zu aktivieren.

DANE Records

Der DANE zugrundeliegende Standard RFC 6698 wurde 2012 ver├Âffentlicht und 2015 wurde seine Verwendung f├╝r die E-Mail-├ťbertragung in RFC 7672 formalisiert, wodurch die Sicherheit gegen das Abh├Âren von E-Mails erheblich verbessert wurde. DANE definiert f├╝r die E-Mail Sicherheit vier verschiedene Betriebsmodi im Feld “Zertifikatverwendung” eines TLSA-Datensatzes:

Der TLSA-Datensatz gibt die Zertifizierungsstelle an, die TLS-Zertifikate f├╝r die Dom├Ąne bereitstellt. Hiermit wird angegeben, dass eine Dom├Ąne nur TLS-Zertifikate von einer bestimmten Zertifizierungsstelle verwendet. Wenn der Browser oder eine andere Anwendung, die die DANE-Validierung verwendet, ein TLS-Zertifikat von einer anderen Zertifizierungsstelle sieht, sollte dieses TLS-Zertifikat als gef├Ąlscht abgelehnt werden.
Der TLSA-Datensatz gibt das genaue TLS-Zertifikat an, das f├╝r die Dom├Ąne verwendet werden soll. Dieses TLS-Zertifikat muss von einer g├╝ltigen Zertifizierungsstelle ausgestellt werden.
Der TLSA-Datensatz gibt den “Vertrauensanker” an, der zur ├ťberpr├╝fung der TLS-Zertifikate f├╝r die Dom├Ąne verwendet wird. Wenn ein Unternehmen beispielsweise eine eigene Zertifizierungsstelle betreibt, die nicht in der Liste der in Clientanwendungen normalerweise installierten Zertifizierungsstellen steht, k├Ânnte diese Verwendung von DANE das Zertifikat (oder den Fingerabdruck) f├╝r die Zertifizierungsstelle bereitstellen.
Der TLS-Datensatz gibt das genaue TLS-Zertifikat an, das f├╝r die Dom├Ąne verwendet werden soll. Aber im Gegensatz zu Verwendung des Betriebsmodus 0 muss das TLS-Zertifikat nicht von einer g├╝ltigen Zertifizierungsstelle signiert werden. Dies erm├Âglicht die Verwendung von selbst signierten Zertifikaten.

Aufgrund der Flexibilit├Ąt der verschiedenen Verwendungsmodi des DNS-based Authentication of Named Entities Protokolls kann mit ihm eine von DNSSEC validierte zus├Ątzliche Vertrauensschicht f├╝r regul├Ąre, von CA signierte TLS-Zertifikate bereitgestellt werden, und es kann eine DNSSEC-validierte Vertrauensschicht f├╝r selbst signierte Zertifikate hinzugef├╝gt werden.

Der Dom├Ąnenname des Servers muss mit DNSSEC gesichert sein, damit DANE funktioniert. Wenn der Dom├Ąnenname des Servers nicht mit DNSSEC gesichert ist, wird jeder Angriff, bei dem eine DNS-Antwort gef├Ąlscht wird, auch die DNS-based Authentication of Named Entities t├Ąuschen k├Ânnen. DNSSEC bietet Nutzern eine Vertrauenskette, die der einer Zertifizierungsstelle ├Ąhnelt, jedoch mit dem Unterschied, dass nur ein Schl├╝ssel ├╝berwacht werden muss, w├Ąhrend es Hunderte Zertifizierungsstellen gibt, von denen nicht immer alle vertrauensw├╝rdig sind.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte