Skip to main content

DNS-based Authentication of Named Entities (DANE)

Was bedeutet DNS-based Authentication of Named Entities (DANE)?

Bei DNS-based Authentication of Named Entities (DANE) handelt es sich um eine Reihe von Protokollen, welche die DNSSEC-Infrastruktur des Domain Name System zur Authentisierung verwenden. Die DANE Protokolle werden von der IETF (Internet Engineering Task Force) standardisiert und erhöhen die Sicherheit im Internet, indem Schlüssel in das DNS eingefügt und von DNSSEC geschützt werden.

Hintergrund für die Entwicklung von DANE

Die Authentifizierung von DNS-Namen (Domain Name System) für Transport-Layer-Security (TLS) ist in vielen Internetprotokollen ein zentrales Sicherheitsrisiko, vor allem im HTTP-Protokoll. Die kryptografischen Bindungen, die der TLS-Authentifizierung zugrunde liegen, in PKIX-Zertifikaten (Public Key Infrastructure for X.509) geltend gemacht, die von Zertifizierungsstellen von Drittanbietern (CA) ausgestellt wurden.

TLS wird als Basis für Sicherheitsfunktionen in vielen modernen Internet-Anwendungsdienstprotokollen verwendet, um sichere Client-Server-Verbindungen bereitzustellen. Es basiert auf sicherem HTTP und sicheren E-Mails und bietet Hop-by-Hop-Sicherheit in Echtzeit-Multimedia- und Instant-Messaging-Protokollen. In diesen Anwendungen wird der Dienst, zu dem der Benutzer eine Verbindung herstellen möchte, durch einen DNS-Domänennamen identifiziert.

Der Zweck von TLS in diesen Fällen ist es, den Server als legitimen Vertreter des Domänennamens zu authentifizieren. Das heißt, es soll sicherzustellen, dass die Entität am anderen Ende der Verbindung tatsächlich, die ist, für die sie sich ausgibt.

Die Funktionsweise der DNS-based Authentication of Named Entities

DANE ist ein Standard, der DNS und DNSSEC verwendet, um eine sichere Authentifizierung für jeden Internet-Host bereitzustellen, einschließlich eines Mechanismus, der angibt, dass ein Host TLS-verschlüsselte Kommunikation unterstützt und tatsächlich anfordert.

Die Arbeitsgruppe für DNS-based Authentication of Named Entities entwickelt Protokolle, mit denen Zertifikate mithilfe von DNSSEC an DNS-Namen gebunden werden können. Diese Protokolle ermöglichen zusätzliche Zusicherungen für das traditionelle, auf PKIX basierende Modell. Es ermöglicht Domaininhabern, Zertifikate für sich selbst ohne Bezugnahme auf Zertifizierungsstellen von Drittanbietern zu aktivieren.

DANE Records

Der DANE zugrundeliegende Standard RFC 6698 wurde 2012 veröffentlicht und 2015 wurde seine Verwendung für die E-Mail-Übertragung in RFC 7672 formalisiert, wodurch die Sicherheit gegen das Abhören von E-Mails erheblich verbessert wurde. DANE definiert für die E-Mail Sicherheit vier verschiedene Betriebsmodi im Feld “Zertifikatverwendung” eines TLSA-Datensatzes:

Modus 0 – CA-Spezifikation: Der TLSA-Datensatz gibt die Zertifizierungsstelle an, die TLS-Zertifikate für die Domäne bereitstellt. Hiermit wird angegeben, dass eine Domäne nur TLS-Zertifikate von einer bestimmten Zertifizierungsstelle verwendet. Wenn der Browser oder eine andere Anwendung, die die DANE-Validierung verwendet, ein TLS-Zertifikat von einer anderen Zertifizierungsstelle sieht, sollte dieses TLS-Zertifikat als gefälscht abgelehnt werden.

Modus 1 – Spezifisches TLS-Zertifikat: Der TLSA-Datensatz gibt das genaue TLS-Zertifikat an, das für die Domäne verwendet werden soll. Dieses TLS-Zertifikat muss von einer gültigen Zertifizierungsstelle ausgestellt werden.

Modus 2 – Trust anchor assertion: Der TLSA-Datensatz gibt den “Vertrauensanker” an, der zur Überprüfung der TLS-Zertifikate für die Domäne verwendet wird. Wenn ein Unternehmen beispielsweise eine eigene Zertifizierungsstelle betreibt, die nicht in der Liste der in Clientanwendungen normalerweise installierten Zertifizierungsstellen steht, könnte diese Verwendung von DANE das Zertifikat (oder den Fingerabdruck) für die Zertifizierungsstelle bereitstellen.

Modus 3 – Von der Domäne ausgestelltes Zertifikat: Der TLS-Datensatz gibt das genaue TLS-Zertifikat an, das für die Domäne verwendet werden soll. Aber im Gegensatz zu Verwendung des Betriebsmodus 0 muss das TLS-Zertifikat nicht von einer gültigen Zertifizierungsstelle signiert werden. Dies ermöglicht die Verwendung von selbst signierten Zertifikaten.

Aufgrund der Flexibilität der verschiedenen Verwendungsmodi des DNS-based Authentication of Named Entities Protokolls kann mit ihm eine von DNSSEC validierte zusätzliche Vertrauensschicht für reguläre, von CA signierte TLS-Zertifikate bereitgestellt werden, und es kann eine DNSSEC-validierte Vertrauensschicht für selbst signierte Zertifikate hinzugefügt werden.

Der Domänenname des Servers muss mit DNSSEC gesichert sein, damit DANE funktioniert. Wenn der Domänenname des Servers nicht mit DNSSEC gesichert ist, wird jeder Angriff, bei dem eine DNS-Antwort gefälscht wird, auch die DNS-based Authentication of Named Entities täuschen können. DNSSEC bietet Nutzern eine Vertrauenskette, die der einer Zertifizierungsstelle ähnelt, jedoch mit dem Unterschied, dass nur ein Schlüssel überwacht werden muss, während es Hunderte Zertifizierungsstellen gibt, von denen nicht immer alle vertrauenswürdig sind.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG

DNS-based Authentication of Named Entities (DANE)
Beitrag bewerten