Definition TLSA-Record

Was ist ein TLSA-Record?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein TLSA-Record ist ein Eintrag im Domain Name System (DNS) zur Prüfung von Serverzertifikaten.
Ein TLSA-Record ist ein Eintrag im Domain Name System (DNS) zur Prüfung von Serverzertifikaten. (Bild: gemeinfrei / Pixabay)

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt.

TLSA-Records kommen im Rahmen des in verschiedenen RFCs standardisierten Verfahrens DANE (DNS-based Authentication of Named Entities) zur DNS-basierten Prüfung von Zertifikaten zum Einsatz. Ziel ist es, Manipulationen von Zertifikaten aufgrund von Problemen oder Schwachstellen bei Zertifizierungsstellen (Certificate Authorities - CAs) auszuschließen, indem die Authentizität des Serverzertifikats einer bestimmten Domain direkt per Domain Name System überprüft werden kann. Der TLSA-Record hat ein vorgegebenes Format und enthält verschiedene Elemente wie Port, Protokoll, Hostnamen, TLSA-Informationsfelder und Hashwert. Durch das Vorhandensein eines TLSA-Records wird ein anfragender Client zudem darüber informiert, dass eine verschlüsselte Verbindung erfolgen soll. DANE und TLSA-Records werden im Internet genutzt, um Webseiteninformationen verschlüsselt per HTTPS zu übertragen oder verschlüsselte E-Mails auszutauschen. Für Browser wie Mozilla Firefox oder Google Chrome existieren Add-ons zur Nutzung von TLSA-Records und DANE.

Zielsetzung und grundsätzliche Funktionsweise von DANE

Die Abkürzung DANE steht für DNS-based Authentication of Named Entities. DANE sorgt für zusätzliche Sicherheit für per TLS (Transport Layer Security) verschlüsselten Datenverkehr im Internet, indem Zertifikate nicht mehr von vertrauenswürdigen Zertifizierungsstellen abhängig sind, sondern sich direkt per Domain Name System prüfen lassen. Technisch gesehen verknüpft DANE X.509-Zertifikate mit TLSA-Einträgen in der entsprechenden DNS-Zone. Das Verfahren kann auch dazu verwendet werden, um eigene Zertifikate ohne eine CA auszustellen. Hintergrund ist, dass es in der Vergangenheit wiederholt zu Problemen mit der Vertrauenswürdigkeit von Certificate Authorities gekommen ist und eine Manipulation oder der Missbrauch von Zertifikaten nicht ausgeschlossen werden kann. DANE kommt in Kombination mit DNSSEC zum Einsatz, um die DNS-Kommunikation abzusichern.

Aufbau und Bestandteile eines TLSA-Records

Ein TLSA-Record besitzt ein normiertes Format und kann beispielsweise folgendermaßen aussehen:

_443._tcp.www.beispieldomain-abs.xyz. TLSA 3 1 1 CA43DC21A123BB18182233111...

Das erste Element des TLSA-Records ist die Portnummer, auf der der TLS-Server angesprochen werden kann wie im Beispiel der Port 443. Es folgt das zu verwendende Protokoll wie TCP, UDP oder andere. Anschließend ist der Hostname (Domainname) des TLS-Servers zu finden. Nach dem Kürzel "TLSA" folgen drei einzelne, per Leerstellen getrennte Zahlen und der abschließende Hashwert in hexadezimaler Darstellung. Die drei Zahlen legen fest, wie der Hashwert ermittelt wurde und wie die Prüfung des Hashwerts durch den Client erfolgen soll. Sie stehen für:

  • TLSA Certificate Usage: Zahl zwischen 0 und 3
  • TLSA Selector: Zahl 0 oder 1
  • TLSA Matching Type: Zahl zwischen 0 und 2

Die TLSA Certificate Usage weist den Client an, ob eine Trust-Chain-Prüfung erfolgen soll oder nicht. Ist die Trust-Chain-Prüfung abgeschaltet, lassen sich selbst signierte Zertifikate einsetzen. Der Selector gibt Auskunft darüber, ob das gesamte Zertifikat gehashed wurde oder nur der Public Key. Im Matching Type ist festgelegt, ob beispielsweise eine SHA-256-Hash oder ein SHA-512-Hash verwendet wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Mit DANE kommen E-Mails beim richtigen Empfänger an

Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46193520 / Definitionen)