Eigentlich könnte es ja so einfach sein, die Echtheit einer Webseite zu beweisen: Mit einem digitalen Zertifikat, ausgestellt auf den Webseitenbetreiber, könnten eigentlich alle Unsicherheiten geklärt werden. Wäre da nicht das Problem mit den Zertifizierungsstellen, die die Zertifikate beglaubigen sollen. Die Zertifizierungsstellen sind nämlich in einer langen Liste, teilweise mit mehreren hundert Einträgen, im Browser hinterlegt:
"Wenn auch nur eine dieser Zertifikats-Instanzen ihre Arbeit nicht vollkommen korrekt ausführt oder kompromittiert wird, kann das dazu führen, dass Zertifikate für unberechtigte Eigentümer ausgestellt werden. Und das können die dann wiederum ausnutzen, um Anwender auf falsche beziehungsweise gefälschte Webseiten zu locken, E-Mails umzulenken, oder, oder...",
warnt Peter Koch, Chef-Forscher der Deutschen Registrierungsstelle Denic. Und tatsächlich ist es in letzter Zeit häufiger vorgekommen, dass sich gerade bei den Zertifizierungsstellen die Probleme häuften. Deshalb arbeitet die IETF am Projekt Dane – an der Authentifizierung von Zertifikaten über einer der wichtigsten Instanzen des Internet – über das Namens-Systems:
"Das Domain-Name-System wird ja normalerweise dazu benutzt, um die IP-Adresse zu einem Domain-Namen zu finden. Aber es kann viel mehr. Und diese Erweiterbarkeit wird genutzt, um genau diese Zertifikate oder die Zertifkate betreffende Information im Domain-Name-System abzulegen."
So könnte ein Browser über eine DANE-Abfrage im DNS-System gleich ermitteln, bei welcher Zertifizierungsstelle denn das Zertifikat einer sicheren Webseite bestätigt werden kann. Falsche Zertifikate, die bei falschen Zertifizierungsstellen bestätigt werden, wären damit so gut wie unmöglich. Aber nur dann, wenn auch die Anfrage beim Internet-Namenssystem selbst zertifiziert ist. Das leistet die bislang kaum genutzte Sicherheitserweitung DNSSEC.
"Wenn es darum geht, Sicherheitsinformationen zu verbreiten, dann ist es natürlich umso wichtiger, dass auch die DNS-Information abgesichert wird. DANE setzt also zwingend den Einsatz von DNSSEC voraus. Und seit 2011 kann man in Deutschland Domains mit DNSSEC registrieren. Insofern ist da für jeden selbst die Voraussetzung geschaffen, DANE einzusetzen."
Damit könnte DANE auch zu einer Killer-Applikation werden für das bislang vor sich herdümpelnde DNSSEC-System. Denn DNSSEC sichert die Auskünfte des Domain-Name-Systems mit kryptografisch sehr starken Zertifikaten ab. Und so könnte das Dane-Konzept auch die Zertifizierungsstellen für Webseitenbetreiber schlicht überflüssig machen. Denn per DNSSEC wird es möglich, auch sogenannte selbstunterschriebene Zertifikate auszustellen, die nicht mehr von einer neutralen Instanz bestätigt werden müssen.
Zum Themenportal "Risiko Internet"
"Wenn auch nur eine dieser Zertifikats-Instanzen ihre Arbeit nicht vollkommen korrekt ausführt oder kompromittiert wird, kann das dazu führen, dass Zertifikate für unberechtigte Eigentümer ausgestellt werden. Und das können die dann wiederum ausnutzen, um Anwender auf falsche beziehungsweise gefälschte Webseiten zu locken, E-Mails umzulenken, oder, oder...",
warnt Peter Koch, Chef-Forscher der Deutschen Registrierungsstelle Denic. Und tatsächlich ist es in letzter Zeit häufiger vorgekommen, dass sich gerade bei den Zertifizierungsstellen die Probleme häuften. Deshalb arbeitet die IETF am Projekt Dane – an der Authentifizierung von Zertifikaten über einer der wichtigsten Instanzen des Internet – über das Namens-Systems:
"Das Domain-Name-System wird ja normalerweise dazu benutzt, um die IP-Adresse zu einem Domain-Namen zu finden. Aber es kann viel mehr. Und diese Erweiterbarkeit wird genutzt, um genau diese Zertifikate oder die Zertifkate betreffende Information im Domain-Name-System abzulegen."
So könnte ein Browser über eine DANE-Abfrage im DNS-System gleich ermitteln, bei welcher Zertifizierungsstelle denn das Zertifikat einer sicheren Webseite bestätigt werden kann. Falsche Zertifikate, die bei falschen Zertifizierungsstellen bestätigt werden, wären damit so gut wie unmöglich. Aber nur dann, wenn auch die Anfrage beim Internet-Namenssystem selbst zertifiziert ist. Das leistet die bislang kaum genutzte Sicherheitserweitung DNSSEC.
"Wenn es darum geht, Sicherheitsinformationen zu verbreiten, dann ist es natürlich umso wichtiger, dass auch die DNS-Information abgesichert wird. DANE setzt also zwingend den Einsatz von DNSSEC voraus. Und seit 2011 kann man in Deutschland Domains mit DNSSEC registrieren. Insofern ist da für jeden selbst die Voraussetzung geschaffen, DANE einzusetzen."
Damit könnte DANE auch zu einer Killer-Applikation werden für das bislang vor sich herdümpelnde DNSSEC-System. Denn DNSSEC sichert die Auskünfte des Domain-Name-Systems mit kryptografisch sehr starken Zertifikaten ab. Und so könnte das Dane-Konzept auch die Zertifizierungsstellen für Webseitenbetreiber schlicht überflüssig machen. Denn per DNSSEC wird es möglich, auch sogenannte selbstunterschriebene Zertifikate auszustellen, die nicht mehr von einer neutralen Instanz bestätigt werden müssen.
Zum Themenportal "Risiko Internet"