Definition TLSA-Record Was ist ein TLSA-Record?

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt.

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

TLSA-Records kommen im Rahmen des in verschiedenen RFCs standardisierten Verfahrens DANE (DNS-based Authentication of Named Entities) zur DNS-basierten Prüfung von Zertifikaten zum Einsatz. Ziel ist es, Manipulationen von Zertifikaten aufgrund von Problemen oder Schwachstellen bei Zertifizierungsstellen (Certificate Authorities - CAs) auszuschließen, indem die Authentizität des Serverzertifikats einer bestimmten Domain direkt per Domain Name System überprüft werden kann. Der TLSA-Record hat ein vorgegebenes Format und enthält verschiedene Elemente wie Port, Protokoll, Hostnamen, TLSA-Informationsfelder und Hashwert. Durch das Vorhandensein eines TLSA-Records wird ein anfragender Client zudem darüber informiert, dass eine verschlüsselte Verbindung erfolgen soll. DANE und TLSA-Records werden im Internet genutzt, um Webseiteninformationen verschlüsselt per HTTPS zu übertragen oder verschlüsselte E-Mails auszutauschen. Für Browser wie Mozilla Firefox oder Google Chrome existieren Add-ons zur Nutzung von TLSA-Records und DANE.

Zielsetzung und grundsätzliche Funktionsweise von DANE

Die Abkürzung DANE steht für DNS-based Authentication of Named Entities. DANE sorgt für zusätzliche Sicherheit für per TLS (Transport Layer Security) verschlüsselten Datenverkehr im Internet, indem Zertifikate nicht mehr von vertrauenswürdigen Zertifizierungsstellen abhängig sind, sondern sich direkt per Domain Name System prüfen lassen. Technisch gesehen verknüpft DANE X.509-Zertifikate mit TLSA-Einträgen in der entsprechenden DNS-Zone. Das Verfahren kann auch dazu verwendet werden, um eigene Zertifikate ohne eine CA auszustellen. Hintergrund ist, dass es in der Vergangenheit wiederholt zu Problemen mit der Vertrauenswürdigkeit von Certificate Authorities gekommen ist und eine Manipulation oder der Missbrauch von Zertifikaten nicht ausgeschlossen werden kann. DANE kommt in Kombination mit DNSSEC zum Einsatz, um die DNS-Kommunikation abzusichern.

Aufbau und Bestandteile eines TLSA-Records

Ein TLSA-Record besitzt ein normiertes Format und kann beispielsweise folgendermaßen aussehen:

Das erste Element des TLSA-Records ist die Portnummer, auf der der TLS-Server angesprochen werden kann wie im Beispiel der Port 443. Es folgt das zu verwendende Protokoll wie TCP, UDP oder andere. Anschließend ist der Hostname (Domainname) des TLS-Servers zu finden. Nach dem Kürzel "TLSA" folgen drei einzelne, per Leerstellen getrennte Zahlen und der abschließende Hashwert in hexadezimaler Darstellung. Die drei Zahlen legen fest, wie der Hashwert ermittelt wurde und wie die Prüfung des Hashwerts durch den Client erfolgen soll. Sie stehen für:

• TLSA Certificate Usage: Zahl zwischen 0 und 3

• TLSA Selector: Zahl 0 oder 1

• TLSA Matching Type: Zahl zwischen 0 und 2

Die TLSA Certificate Usage weist den Client an, ob eine Trust-Chain-Prüfung erfolgen soll oder nicht. Ist die Trust-Chain-Prüfung abgeschaltet, lassen sich selbst signierte Zertifikate einsetzen. Der Selector gibt Auskunft darüber, ob das gesamte Zertifikat gehashed wurde oder nur der Public Key. Im Matching Type ist festgelegt, ob beispielsweise eine SHA-256-Hash oder ein SHA-512-Hash verwendet wird.

(ID:46193520)