Definition DNS-based Authentication of Named Entities (DANE)

Was ist DANE?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

DANE (DNS-based Authentication of Named Entities) dient der Sicherstellung der Vertrauenswürdigkeit von Server-Zertifikaten per DNS.
DANE (DNS-based Authentication of Named Entities) dient der Sicherstellung der Vertrauenswürdigkeit von Server-Zertifikaten per DNS. (Bild: gemeinfrei / Pixabay)

DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüs­selung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge.

Die Abkürzung DANE steht für DNS-based Authentication of Named Entities. Es handelt sich um ein in verschiedenen RFCs (Request for Comments) spezifiziertes Verfahren zur Prüfung von Server-Zertifikaten mithilfe des Domain Name Systems. Die maßgeblichen RFCs sind RFC 6394, RFC 6698, RFC 7218, RFC 7671, RFC 7672 und RFC 7673. DANE ermöglicht es, den per TLS (Transport Layer Security) und Zertifikate zu verschlüsselnden Verkehr abzusichern, indem die Prüfung der Zertifikate nicht mehr von der Vertrauenswürdigkeit einer Zertifizierungsstelle (Certificate Authority - CA) abhängig ist. Dies erhöht die Sicherheit, da sich Zertifikate nicht unbemerkt auswechseln lassen.

DANE wird eingesetzt für den verschlüsselten Zugriff auf Webseiten per HTTPS (Hypertext Transfer Protocol Secure) oder den verschlüsselten Austausch von E-Mails per SMTP (Simple Mail Transfer Protocol). Aus technischer Sicht verknüpft DNS-based Authentication of Named Entities X.509-Zertifikate mit zusätzlichen Einträgen im Domain Name System. Zur Absicherung der DNS-Kommunikation kommt DNSSEC zum Einsatz. DANE lässt sich auch dazu verwenden, selbst Zertifikate auszustellen, ohne eine CA hinzuzuziehen. Vorrangiges Ziel von DANE ist die Prüfung, ob das Zertifikat eines Servers mit der gewünschten Domain übereinstimmt. Verschiedene Browser wie Firefox oder Google Chrome unterstützen das Verfahren über Add-ons. Darüber hinaus bieten Hosting-Provider kompatible Server- und Domain-Angebote. Voraussetzung hierfür sind bestimmte Konfigurationsmöglichkeiten der eigenen DNS-Zone.

Was ist die Motivation für DANE?

Transport Layer Security (TLS), auch unter der Vorgängerbezeichnung Secure Sockets Layer (SSL) bekannt, ist das Standardverfahren für die Verschlüsselung von im Internet transportierten Daten. Sowohl der verschlüsselte Abruf von Webseiten per HTTPS als auch der verschlüsselte Austausch von E-Mails basiert auf TLS. TLS verwendet Zertifikate, um die Authentizität der Server zu bestätigen. Hierfür prüfen Clients, ob die kontaktierte Domain zum Eintrag im Server-Zertifikat passt. Zudem muss geprüft werden, ob das Zertifikat von einer vertrauenswürdigen CA ausgestellt wurde. Ob eine CA vertrauenswürdig ist, entscheidet der Browser anhand einer Liste. In der Vergangenheit kam es immer wieder zu Problemen mit CAs und Angreifer konnten sich unbefugt Zertifikate ausstellen. Typische Probleme mit CAs und Zertifikaten sind:

  • unzureichende Prüfung der Identität von Zertifikatsantragstellern durch die CA
  • gestohlene Zertifikate, mit denen sich beliebige Zertifikate im Namen der CA zertifizieren lassen
  • Probleme mit automatisierten Zertifikatsprozessen einer CA

DANE erlaubt eine von CAs unabhängige Prüfung der Zertifikate direkt beim Inhaber einer Domain und ist nicht mehr von der Vertrauenswürdigkeit einer Zertifizierungsstelle abhängig.

Wie funktioniert DNS-based Authentication of Named Entities?

DANE arbeitet mit sogenannten TLSA-Einträgen in der DNS-Zone. Im TLSA-Eintrag sind Informationen zum Zertifikat wie ein einzigartiger Fingerabdruck in Form eines Hashwerts hinterlegt. Die Manipulation des TLSA-Eintrags kann ausgeschlossen werden, da nur der Domain-Inhaber autorisiert ist, die Einträge zu verwalten. Ein TLSA-Eintrag signalisiert unter anderem auch die Bereitschaft, unter der Domain eine verschlüsselte Verbindung anzunehmen. Möchte ein Client ein Zertifikat überprüfen, kontaktiert er nicht mehr die CA, sondern fragt den TLSA-Eintrag der Domain mit dem Hashwert des Zertifikats ab. Der Austausch der DNS-Informationen ist mit DNSSEC gesichert. Durch den Vergleich des erhaltenen Fingerprints mit einem mit dem öffentlichen Schlüssel selbst berechneten Hashwert lässt sich die Authentizität des Servers feststellen. Anschließend kann die per TLS verschlüsselte Verbindung aufgebaut werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist ein TLSA-Record?

Definition TLSA-Record

Was ist ein TLSA-Record?

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt. lesen

E-Mails vor Lauschangriffen und Manipulation schützen

Neuer Verschlüsselungsstandard MTA-STS

E-Mails vor Lauschangriffen und Manipulation schützen

Ein neuer Standard zur Absicherung von Verbindungen zwischen Mailservern und Zertifikaten soll den E-Mail-Versand sicherer machen. MTA-STS hat zum Ziel, die E-Mail-Kommunikation gegen Lauschangriffe und Manipulation abzusichern. lesen

Mit DANE kommen E-Mails beim richtigen Empfänger an

Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert. lesen

E-Mail Security: Sicherheit für das Haupt-Angriffsziel

IT-Security Management & Technology Conference 2018

E-Mail Security: Sicherheit für das Haupt-Angriffsziel

Stefan Cink von Net at Work zeigt auf der „IT-Security Management & Technology Conference 2018“, warum es sich für Unternehmen lohnt, besonderes Augenmerk auf E-Mail-Security zu legen. lesen

Mail-Security versagt bei CEO-Fraud und Spear-Phishing

E-Mail-Sicherheit

Mail-Security versagt bei CEO-Fraud und Spear-Phishing

Sicherheitsexperten testeten den Schutz durch Mail-Security-Systeme vor Spear-Phishing und CEO-Fraud in mehreren Live-Hacking-Workshops auf der IT-Security-Conference. Die meisten Systeme versagten in der Praxis unnötigerweise, obwohl sich die Attacken mit wenig Aufwand hätten abwehren lassen. lesen

Verschlüsselung für Anwender zu komplex

Datensicherheit

Verschlüsselung für Anwender zu komplex

Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Trotz NSA-Affäre verschlüsselt nicht einmal jeder Siebte seine persönlichen Daten und E-Mails. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. lesen

E-Mail-Verschlüsselung für Apple iOS

iOS App von Tutanota

E-Mail-Verschlüsselung für Apple iOS

Von der kostenlosen Open Source E-Mail-Verschlüsselungslösung Tutanota gibt es für mobile Anwender jetzt neben einer Version für Android auch eine für Apples iPhone und iPad. Tutanota verschlüsselt nicht nur den Nachrichteninhalt, sondern auch alle Anhänge sowie die Betreffzeile von E-Mails und legt Daten nur verschlüsselt auf den eigenen Servern ab. lesen

Tutanota baut auf E-Mail-Verschlüsselung mittels DANE

DNS-basierte Authentifizierung

Tutanota baut auf E-Mail-Verschlüsselung mittels DANE

SSL ist nur ein kleiner Schritt hin zu mehr E-Mail-Sicherheit. Ein grundlegendes Problem der SSL-Verschlüsselung sind die unzureichende Vertrauenswürdigkeit von Zertifizierungsstellen und potenziell gefälschte Zertifikate. Der E-Mail-Dienst Tutanota unterstützt deshalb künftig die DNS-basierte Authentifizierung DANE. lesen

Schutz für das Domain Name System (DNS) des Internets

Die Sicherheitsanforderungen an die Web-Infrastruktur steigen

Schutz für das Domain Name System (DNS) des Internets

Mit mehr als 250 Millionen Domains und fast zweieinhalb Milliarden Nutzern ist das Internet ein wichtiger Teil unseres Lebens. Scott Courtney, VP Infrastructure Engineering bei Verisign, erklärt, wie diese Infrastruktur sicher und zuverlässig funktioniert. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46110059 / Definitionen)