Suchen

Definition DNS-based Authentication of Named Entities (DANE) Was ist DANE?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüs­selung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge.

Firma zum Thema

DANE (DNS-based Authentication of Named Entities) dient der Sicherstellung der Vertrauenswürdigkeit von Server-Zertifikaten per DNS.
DANE (DNS-based Authentication of Named Entities) dient der Sicherstellung der Vertrauenswürdigkeit von Server-Zertifikaten per DNS.
(Bild: gemeinfrei / Pixabay )

Die Abkürzung DANE steht für DNS-based Authentication of Named Entities. Es handelt sich um ein in verschiedenen RFCs (Request for Comments) spezifiziertes Verfahren zur Prüfung von Server-Zertifikaten mithilfe des Domain Name Systems. Die maßgeblichen RFCs sind RFC 6394, RFC 6698, RFC 7218, RFC 7671, RFC 7672 und RFC 7673. DANE ermöglicht es, den per TLS (Transport Layer Security) und Zertifikate zu verschlüsselnden Verkehr abzusichern, indem die Prüfung der Zertifikate nicht mehr von der Vertrauenswürdigkeit einer Zertifizierungsstelle (Certificate Authority - CA) abhängig ist. Dies erhöht die Sicherheit, da sich Zertifikate nicht unbemerkt auswechseln lassen.

DANE wird eingesetzt für den verschlüsselten Zugriff auf Webseiten per HTTPS (Hypertext Transfer Protocol Secure) oder den verschlüsselten Austausch von E-Mails per SMTP (Simple Mail Transfer Protocol). Aus technischer Sicht verknüpft DNS-based Authentication of Named Entities X.509-Zertifikate mit zusätzlichen Einträgen im Domain Name System. Zur Absicherung der DNS-Kommunikation kommt DNSSEC zum Einsatz. DANE lässt sich auch dazu verwenden, selbst Zertifikate auszustellen, ohne eine CA hinzuzuziehen. Vorrangiges Ziel von DANE ist die Prüfung, ob das Zertifikat eines Servers mit der gewünschten Domain übereinstimmt. Verschiedene Browser wie Firefox oder Google Chrome unterstützen das Verfahren über Add-ons. Darüber hinaus bieten Hosting-Provider kompatible Server- und Domain-Angebote. Voraussetzung hierfür sind bestimmte Konfigurationsmöglichkeiten der eigenen DNS-Zone.

Was ist die Motivation für DANE?

Transport Layer Security (TLS), auch unter der Vorgängerbezeichnung Secure Sockets Layer (SSL) bekannt, ist das Standardverfahren für die Verschlüsselung von im Internet transportierten Daten. Sowohl der verschlüsselte Abruf von Webseiten per HTTPS als auch der verschlüsselte Austausch von E-Mails basiert auf TLS. TLS verwendet Zertifikate, um die Authentizität der Server zu bestätigen. Hierfür prüfen Clients, ob die kontaktierte Domain zum Eintrag im Server-Zertifikat passt. Zudem muss geprüft werden, ob das Zertifikat von einer vertrauenswürdigen CA ausgestellt wurde. Ob eine CA vertrauenswürdig ist, entscheidet der Browser anhand einer Liste. In der Vergangenheit kam es immer wieder zu Problemen mit CAs und Angreifer konnten sich unbefugt Zertifikate ausstellen. Typische Probleme mit CAs und Zertifikaten sind:

  • unzureichende Prüfung der Identität von Zertifikatsantragstellern durch die CA
  • gestohlene Zertifikate, mit denen sich beliebige Zertifikate im Namen der CA zertifizieren lassen
  • Probleme mit automatisierten Zertifikatsprozessen einer CA

DANE erlaubt eine von CAs unabhängige Prüfung der Zertifikate direkt beim Inhaber einer Domain und ist nicht mehr von der Vertrauenswürdigkeit einer Zertifizierungsstelle abhängig.

Wie funktioniert DNS-based Authentication of Named Entities?

DANE arbeitet mit sogenannten TLSA-Einträgen in der DNS-Zone. Im TLSA-Eintrag sind Informationen zum Zertifikat wie ein einzigartiger Fingerabdruck in Form eines Hashwerts hinterlegt. Die Manipulation des TLSA-Eintrags kann ausgeschlossen werden, da nur der Domain-Inhaber autorisiert ist, die Einträge zu verwalten. Ein TLSA-Eintrag signalisiert unter anderem auch die Bereitschaft, unter der Domain eine verschlüsselte Verbindung anzunehmen. Möchte ein Client ein Zertifikat überprüfen, kontaktiert er nicht mehr die CA, sondern fragt den TLSA-Eintrag der Domain mit dem Hashwert des Zertifikats ab. Der Austausch der DNS-Informationen ist mit DNSSEC gesichert. Durch den Vergleich des erhaltenen Fingerprints mit einem mit dem öffentlichen Schlüssel selbst berechneten Hashwert lässt sich die Authentizität des Servers feststellen. Anschließend kann die per TLS verschlüsselte Verbindung aufgebaut werden.

(ID:46110059)

Über den Autor